2019 年 7 月 12 日发布,作者 Maël Nison
我们了解到,锁定文件中某些数据存储方式存在潜在攻击媒介。我们建议您尽快将 Yarn 升级到最新的 1.17.3 版本 升级。我们还建议您编辑锁定文件,将 http: 协议的所有引用替换为其他内容
$ sed -i '' 's/http:/https:/g' yarn.lock
发生了什么?
Yarn 注册表只是 npm 注册表的 DNS 别名。在 2018 年的几个月里,npm 注册表 返回了 http url,而不是常规 https url。尽管该问题似乎已于今年早些时候得到解决,但在此期间生成的锁定文件条目可能仍然引用 http url,并导致 Yarn 通过网络发送未加密的身份验证数据。
有什么缓解措施?
从 1.17.3 开始,无论注册表返回什么内容,我们都将在三个最常见的 hostnames 上强制执行 https:*.yarnpkg.com,*.npmjs.org,和 *.npmjs.com。此外,从 v2 开始,我们将重新考虑默认策略,以使使用 http 需要某种形式的明确确认。
–
感谢 @skovorodan(代表 Exodus 发布)向我们通风报信。