yarn antd 版本更新_在npm,pnpm和yarn中发现任意文件植入覆盖漏洞,请更新最新版本...

最新推荐文章于 2023-02-20 17:48:44 发布
最新推荐文章于 2023-02-20 17:48:44 发布
阅读量644 收藏
点赞数
文章标签: yarn antd 版本更新
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39961522/article/details/113578856
版权
5ca238ae851772a07f059673978d9f8c.png

概述

Node.js和npm的安全性正变得越来越重要,我正在考虑恶意攻击者和软件包如何对我们的系统造成损害的可能路径。一个非常强大且经常被忽略的功能是可以通过package.json定义二进制文件,包括它们的名称和使用的文件。可以将它用于(覆盖)某些文件或在我们想要在任何地方植入文件?

发现问题

我的测试证实了我最初的假设,即所有这三个都容易受到文件植入任意文件(覆盖)写入攻击的。

尽管npm和yarn最容易受到攻击,但正如我的测试所总结的那样,pnpm似乎可以阻止许多攻击类型。

在大多数情况下,pnpm似乎无法解析node_modules外部的链接路径。同样,由于pnpm通常使用符号链接来管理依赖关系,因此可以防止符号链接被其他使用它们创建并拥有的软件包覆盖。

问题在于我们可以为文件名称和文件进行符号链接定义任何(有效)路径。

 "bin": {     "../some/path": "../some/other/path" }

PoC

符号链接.ssh / id_rsa

 "keyfile": "/Users/danielruf/.ssh/id_rsa"

这样设置后,恶意应用程序就可以直接访问文件,而无需使用绝对路径和绕过检查所用路径的工具。根据包管理器的安装方式,这也可以作为某种特权绕过。

(覆盖)写入文件

 "webpack": "./test.js"

这样webpack用其他方式覆盖文件。这可用于以操纵或恶意版本静默替换干净的文件。如果尚未创建,则会创建它。

植入文件

 "/Users/danielruf/Desktop/yyy": "./fake-file"

这将在桌面上生成一个新文件,其中包含来自已安装软件包相对路径的代码。

相对路径和简单路径遍历也可以用来实现相同目的:

 "../../../yyy": "./fake-file"

安全修复方案

路径不应在node_modules文件夹之外被解析,以防止大多数此类方法,例如pnpm已经这样做。

而且,不应允许它覆盖由其他依赖项创建的符号链接。在某些情况下,这是可以避免的,但在大多数情况下,程序包管理器允许这样做。用户也不会获得默认情况下已安装文件的信息,因此不清楚后面发生的事情。

关于文件系统访问的限制也应该防止其他方面的攻击。但这是一个普遍的问题,必须在Node.js中解决(表示已经从根开始尝试解决)。

更新

更新到npm(v6.13.4)和yarn(v1.12.1)的最新可用版本,这些版本解决了这些问题。#npm##pnpm##yarn#

weixin_39961522
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Antd3升级Antd4
jun的博客
08-14 3570
删除本地package-lock.json、node_modules yarn install --初始化项目 yarn upgrade antd@3.26.12 --更新antd包到3版的终极版 yarn start --跑下项目,看Ok不 ant3 执行下面命令直接升级项目的旧代码为新版代码 执行前确认本地代码占存或push到线上了 npx -p @ant-design/codemod-v4 antd4-codemod src 更新 yarn add react --latest
antd v3版本升级到最新
weixin_45261457的博客
09-02 1339
准备工作:保存最新代码,删除node_modules、package-lock.json、yarn.lock。 第一步修改 “dependencies”: { “@ant-design/compatible”: “^1.0.0”, “@ant-design/icons”: “^4.6.4”, “antd”: “^4.0.0”,(首先升级到最初4版本,要不然升级会报错) “react-dom”: “^16.9.0”, “react”: “^16.9.0”, } 第二步升级 使用 npx -p @ant-des
解决yarn install 的时候antd,nodesass等组件安装错误
qq_36740186的博客
02-20 880
组件安装错误,一般是环境的问题,首先查看yarn和node版本是否与项目合适,太高或者太低都会安装失误。有时候版本对上了,但是做别的项目来回切来切去,导致缓存过多,只需执行如下命令即可。主要就是清理缓存,还有安装的时候忽略lockfile。
项目搭建yarn+antd+umi框架,遇见问题:修改yarn的全局安装位置
在职可交流前端开发,包括:web端、uniapp等,欢迎指教。
11-16 537
yarn包的安装位置在C盘(你创建的文件在C盘),然后你的node安装在D盘上,D盘的yarn没有访问权限导致的,要解决这个问题,可以通过修改Yarn的全局安装位置。修改Yarn的全局安装位置。
同项目混用npmyarn出现版本自动更新问题
big_wolf0的博客
04-20 4102
1.前置知识: package.json^,~的详细说明 (1)指定版本:比如"axios": “0.21.0”,表示安装0.21.0的版本; (2)波浪号~指定版本:比如 “core-js”: “~3.6.5”, 表示安装3.6.x的最新版本(不低于3.6.5),但是不安装3.7.x,也就是说安装时不改变大版本号和次要版本号 (3)^指定版本:比如 “antd”: “^3.1.4”,,表示安装3.1.4及以上的版本,但是不安装4.0.0,也就是说安装时不改变大版本号。 package-lock.json
优先级纱线:如果项目具有yarn.lock,npm install更改为yarn
02-03
如果项目具有yarn.lock,npm install更改为yarn。 命令行界面 $ npm install --global prioritize-yarn $ alias npm='prioritize-yarn' // Using yarn, when there is a `yarn.lock`. $ npm install yarn ...
yarn,一个碾压npm的命令行程序.docx
04-10
b、可靠:使用详细、简洁的锁文件格式和明确的安装算法,Yarn 能够保证在不同系统上无差异的工作;c、安全:在执行代码之前,Yarn 会通过算法校验每个安装包的完整性。学习视频:...
yarn1.22.4与1.22.5最新安装包windows
09-02
- **锁定文件**:`yarn.lock`文件确保每个项目依赖的精确版本,保证团队成员间的环境一致性。 - **并行安装**:Yarn可以同时安装多个包,提高了安装速度。 - **安全**:Yarn通过检查每个包的SHA校验和来确保其...
最新yarn-1.22.5的windows的msi安装版本
11-18
2. **锁定文件**:`yarn.lock`文件记录了项目的精确依赖版本,确保在不同环境构建时使用相同版本的依赖,避免“依赖地狱”问题。 3. **工作区支持**:Yarn 1.x 引入了工作区功能,方便管理多模块项目,可以在一个...
tbify:使用tbify [nvm | npm | npx | yarn | pnpm | ...]
02-03
原理根据环境变量对内部求速度欠佳的资源地址进行了替换,具体分为两点:通过环境变量令包管理工具( npm , npx , yarnpnpm , pnpx )使用淘宝源安装依赖;通过环境变量命令或nvm , node-sass , Electron ...
Antd-vue的安装方法
qq_46387376的博客
04-09 2158
1. Antd-vue的安装方法 Antd-vue Antd 安装方法: 推荐使用npm或者yarn方法进行安装,在开发环境可以轻松进行测试,也可以在生产环境打包部署使用,享受yarnnpm的生态圈和工具链带来的一些好处 npm安装方法: npm install ant-design-vue --save yarn安装方法: yarn add ant-design-vue 建议使用cnpm来代替npm安装 示例 import Vue from 'vue'; import { DatePicker }
react+ant design,如果升级antd版本,导致样式不生效解决方案
qq_27010291的博客
03-05 1992
升级antd,我用的命令是: npm i antd@4.17.0 --save 其@号后面是升级的版本号, 本地用的是yarn,在项目的根如今下重新加载命令 yarn install 然后查看pakeage.json文件 启动项目之后,如果发现新增加的一些不生效,可能是对自定义的主题没有更新 需要执行命令:yarn theme(非常重要) 然后再启动项目,就生效了, ...
antdv4 升级指北
Chad97的博客
03-06 1636
最近 antd 更新到v4 到大版本了, 顺手更新了一波 记于此 此次 antdv4 更新 细则就不谈,可移步官网查看 几个注意点: IE 最低支持版本为 IE 11 React 最低支持版本为 React 16.9,部分组件开始使用 hooks 进行重构 升级项目 React 16.12.0 以上 Start upgrading 更新依赖包 上面也说了,此次更新版本较新 我索性...
使用react脚手架新建项目,yarn的使用,配置react支持less,babel-plugin-import按需加载antd
热门推荐
lvanboy的博客
03-05 1万+
如何安装react脚手架? Npm install -g create-react-app 如何使用react脚手架初始化项目? Create-react-app 项目名称(初始化项目位于命令行目录位置) 什么是yarn,为什么使用yarnYarn新一代包管理工具,优点是速度更快,版本同一,安全,更简洁的输出,更好的语义化。 如何使用yarnYarn...
npm更新最新版本
赵乘风_i
07-11 4527
npm install -g npm在命令行输入上述命令npm就自动为我们更新最新版本
使用npm更新所有依赖包到最新版本
不见浅诗的博客
01-07 8591
本篇文章参考文章 - npm包之npm-check-updates 文章目录npm-check-updates背景交代 npm-check-updates   一键升级所有依赖的插件为 npm-check-updates需要执行以下步骤: 安装 npm install -g npm-check-updates 检查 npm-check-updates // 检查当前项目有没有哪些依赖包可更新(简写ncu)   检查结果如下所示: 更新 ncu -u // 更新package.json
antd4-codemod把antd3.X升级到antd4.9最新版本
DavidZhao的博客
12-16 2905
项目做了好多年,框架一直用的antd3.X的,一直在3的版本上升级,React也一直用的16.6的版本,所以也不支持react Hook。 最近领导让把所有项目的antd升级都到4.X的版本,方便以后迭代,所以升级研究了一下,有antd4-codemod工具还是很简单的,一个小时搞定。 第一步: 通过 npx 直接运行 npx -p @ant-design/codemod-v4 antd4-codemod src 或者 全局安装 # 使用 npm npm i -g @ant-design/code.
react执行yarn eject后配置antd的按需加载
alexlu2010的博客
05-30 348
第一步: 用create-react-app创建完成项目后,执行yarn eject。在config文件夹会显示配置文档 第二步: 添加插件yarn add babel-plugin-import --save-devyarn add antd --save-dev 第三步:在congif文件夹下webpack.config.dev.js第147行添加代码 opt...
Create-react-app+Antd+Less 在项目yarn eject 的情况下进行配置
Twinkle的博客
11-07 729
一:创建一个react项目 npx create-react-app project 二:暴露所有内建的配置(注:我这里用的是yarn) yarn eject 注:如果yarn eject 报错的解决的方法 git add . git commit -m 'aa' yarn eject 三:使用babel-plugin-import实现Antd按需加载,并修改package.jso...
yarn.lock文件依赖版本和package.json不一样
最新发布
04-06
如果yarn.lock文件依赖版本和package.json不一致,可能是因为在安装依赖时出现了问题,或者手动修改了package.json文件。为了解决这个问题,可以尝试使用yarn install命令重新安装依赖,并且确保package.json文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值