Ein kleiner Fehler, der für große Aufregung sorgte. Oder waren die Nutzer selbst Schuld?

Bugfix-Update npm 5.7.1: Wie Dateien in npm 5.7.0 ungewollt den Eigentümer wechselten
Keine Kommentare

Erst vorgestern erscheint mit Version 5.7.0 ein Update für npm; gestern Abend wurde jedoch gleich die nächste Version nachgelegt. npm 5.7.1 behebt einen schweren Fehler, der die Eigentümerschaft von Directories eigenständig änderte. Das npm-Team reagierte also promt auf das Problem – und zeigte sich unterschwellig genervt vom Drama um den Bug.

Wenige Stunden nach dem Release von npm 5.7.0 wurde auf GitHub ein schwerer Fehler gemeldet, der durch die neue Version verursacht wurde. GitHub-Nutzer Crunkle beschrieb folgendes Problem mit der neuen npm-Version:

„This issue has been happening ever since 5.7.0 was released a few hours ago. It seems to have completely broken my filesystem permissions and caused me to have to manually fix the permissions of critical files and folders. […]

By running sudo npm under a non-root user (root users do not have the same effect), filesystem permissions are being heavily modified. For example, if I run sudo npm --help or sudo npm update -g, both commands cause my filesystem to change ownership of directories such as /etc, /usr, /boot, and other directories needed for running the system. It appears that the ownership is recursively changed to the user currently running npm. […]“

npm 5.7.0: Der Bug, der den Eigentümer ändert

Der beschriebene Fehler wurde vom Team hinter npm bestätigt: Ein Bug im Release führte tatsächlich dazu, dass automatische Änderungen an der Eigentümerschaft von Systemdateien vorgenommen wurden, die nicht durch den User gewünscht waren. Aufgetreten ist dieses Problem im Zusammenhang mit der Ausführung von sudo in npm 5.7.0. Auch auf Reddit wurde das Problem heiß diskutiert. Dort sprach der Nutzer Miw0 die Empfehlung aus, npm 5.7.0 nicht zu installieren. Besonders brisant liest sich dort außerdem der Hinweis von Reddit-Nutzer lhorie darauf, dass der Bug auf Production-Servern aufgetreten sei. Das könnte also verheerende Folgen für npm-Nutzer haben!

Allerdings ist das Problem wohl doch nicht so groß, wie zuerst angenommen wurde: Im offiziellen Blogpost zum Release des Bugfix-Updates npm 5.7.1 wird erklärt, dass Nutzer von npm latest nicht betroffen waren. Ausschließlich diejenigen Entwickler, die npm@next verwenden, seien betroffen gewesen.

npm 5.7.1: Das Bugfix-Update & die Tags zum Release

Das Problem wurde durch einen Patch verursacht, der die Verlässlichkeit und das konsistente Verhalten von Methoden verbessern sollte, die verhindern, dass npm Root-Files an Orten speichert, an die sie nicht gehören. Das dadurch hervorgerufene Verhalten trat allerdings im Kontext von sudo-Kommandos auch an Stellen auf, an denen es nicht erwünscht war, sodass es zu Änderungen der Eigentümerschaft von Systemdateien kam. Der Patch wurde zu npm 5.7.1 wieder entfernt, sodass der Fehler in der neusten Version nicht mehr auftritt.

Interessant sind jedoch auch die für den Blogpost zum Bugfix-Release verwendeten Tags im npm-Blog: Neben #literallykilledgithub gab es auch einen Seitenhieb auf die Aufregung, die der Bug auf Reddit auslöste: #angryorangewebsite, #peoplegotmad, sowie einen Verweis darauf, dass aufgetretene Probleme ihren Ursprung auch im Verhalten der Nutzer gefunden haben könnte: #stopusingprereleaseswithsudo

Unsere Redaktion empfiehlt:

Relevante Beiträge

X
- Gib Deinen Standort ein -
- or -