忍者ブログ

Home > > npmからもSecurity Alert - Please reset your npm registry accountなるメールが来た

[PR]

  • 2017-07-27

Share on Tumblr このエントリーをはてなブックマークに追加

×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

Comments:

Trackback+Pingback:

Listed below are links to weblogs that reference
[PR] from Born Neet

Home > > npmからもSecurity Alert - Please reset your npm registry accountなるメールが来た

Home > Security > npmからもSecurity Alert - Please reset your npm registry accountなるメールが来た

npmからもSecurity Alert - Please reset your npm registry accountなるメールが来た

Share on Tumblr このエントリーをはてなブックマークに追加

今日は脆弱性が騒がしいですね^^
githubから、Action Required - SSH Key Vulnerabilityなるメールが来た - Born Neet

メールの内容は、

・漏れたのはパスワードのハッシュ値(shaとだけ書いてあるからおそらくSHA-1)
・saltも一緒に漏れた
・強いパスワード使ってる人は何もしなくていいけど、リセットもできるよ
・同じパスワード使ってる他のサービスのパスワードも変えてね

って感じかな。

saltも一緒に漏れてるから、時間さえかければ元のパスワードばれますね。
というわけで問答無用で変えた方が良いんじゃないでしょうか。
(衝突させるのにどれぐらいの時間がかかるか詳しく知りませんが、"2010年"をとっくに過ぎてますし、SHA-1値がsaltと共に漏れたのなら、パスワードが漏れたと考えておいた方がよいと思います。)

リセットの方法は、

CouchDB _User Resetからusernameとemailを入力。
・メールが届くのでそのリンクをクリックする(ユーザがリセットされる)
・~/.npmrcの"_auth"行を消す
・$ npm adduser してユーザを作り直す
・適当なpackageを$ npm publish --force とかしてみる

これでいいのかな?
(タイミングによっちゃ他の人にアカウント取られちゃう気もするw)

…と思ったけど、他のマシンで認証しなおそうとnpm adduserしたら、

Error: conflict Document update conflict.: -/user/org.couchdb.user:

となってできなかった。
バグかな?
(とりあえずリセットしたマシンから_auth行をコピペしたら使えました)

PR

Comments:0

Comment Form

Trackback+Pingback:0

Listed below are links to weblogs that reference
npmからもSecurity Alert - Please reset your npm registry accountなるメールが来た from Born Neet

Home > Security > npmからもSecurity Alert - Please reset your npm registry accountなるメールが来た

Search
Loading
Feeds
Links
スポンサードリンク
Ad
デル株式会社
Ad

Page Top