Arch Linux

Zahlreiche NPM-Pakete kompromittiert

Josephus Miller

Die AUR Sicherheitserinnerung von Dirk ist zwar nicht mehr gepinnt, aber immer noch aktuell:

https://www.linux-magazin.de/news/zahlreiche-npm-pakete-kompromittiert/

Unter den rund 20 Paketen sind so beliebte Exemplare wie „backslash“, „chalk“, „debug“ und „color-string“.

GerBra

Josephus Miller Die AUR Sicherheitserinnerung von Dirk ist zwar nicht mehr gepinnt, aber immer noch aktuell

Als "gepinnt" sieht man den Beitrag nur als nicht angemeldeter User.
Wenn man angemeldet ist, dann tauchen so gepinnte Beiträge AFAIK nicht mehr "als gepinnt" auf
(Zumindest in der Übersicht nicht mehr //Edit: https://forum.archlinux.de/following )
Ist vielleicht etwas, was man @Pierre mal mitteilen sollte, da Gepinntes ja eigentlich für "alle" gelten sollte.

Dirk

Das AUR und NPM sind zwei grundsätzlich verschiedene Dinge.

Josephus Miller

Dirk Das AUR und NPM sind zwei grundsätzlich verschiedene Dinge.

Basieren die angesprochenen Pakete, die auch im AUR zu finden sind, nicht auf den NPMs?

Dirk

AUR-Pakete basieren auf was auch immer die Ersteller der PKGBUILDs als Basis genommen haben.

backslash z.B. benutzt das Git-Repository, chalk nutzt zwar npmjs.org als Quelle, aber eine uralte Version vom Februar (5.4.1 statt 5.6.2), was bisher aber niemanden interessiert hat. Die beiden anderen Pakete kann ich unter diesen Namen nicht im AUR finden (wobei z.B. debug auch ein selten dummer Name ist, und neun Seiten an Ergebnissen Produziert ).

Dennoch haben das AUR (Userscripts für die Erstellung von installierbaren Paketen für Arch Linux) und NPM (Datenbank für das Bereitstellen von Javascript-Modulen im Kontext vom serverseitigem Rendern von Webinhalten durch node.js, was inzwischen aber für alles mögliche zweckentfremdet wird) nichts miteinander zu tun.

Die im Zuge der direkten Malware-Angriffe auf das AUR im Newsartikel seinerzeit nochmals in Erinnerung gerufenen AUR-Sicherheitshinweise gelten unabhängig der Angriffslage gegen andere Software-Repositorys immer 🙂