npm、パッケージマネジャーのnpmにワームプログラムの感染拡大を制限しない脆弱性を確認
npmのパッケージマネジャー「npm」にワームプログラムの感染拡大を制限しない脆弱性が確認された。影響を受けるのはNode.js のパッケージマネージャ npmで、npm はセマンティックバージョニング (semver) の使用を推奨し依存関係にあるパッケージのバージョンが固定されないことや、npm サーバへのログイン状態を維持して自動ログアウトしないこと、Node.js 環境で広範囲で使用されている集中型レジストリを使用していることなどの問題により自己複製型のワームプログラムが動作可能となる。これらの問題によりパッケージインストールにより自己増殖型ワームプログラムが作成され、感染を拡大される恐れがある。現在、この脆弱性に対する解決策は確認されていない。軽減策として、npm サーバをログアウトするようにし、npm shrinkwrap コマンドによる依存パッケージのバージョン固定、インストール時の ignore-scripts オプションなどを紹介している。
