Salve.
trovo sul Nist che il il pacchetto prima delle correzioni sovrascriveva
arbitrariamente files dei pc connessi da determinati indirizzi IP con un
"heart emoji".
Qui c'è anche il codice incriminato:
https://security.snyk.io/vuln/SNYK-JS-NODEIPC-2426370
Il problema, secondo snyk.io, proseguirebbe, per altra via, anche con la
versione 11.0.0 e successive.
Non sarebbe un bug ma un comportamento intenzionale, e quindi,
tecnicamente, un malware.
Luciano Franchi
Il 21/03/2022 10:07, Diego Zuccato ha scritto:
Il 21/03/2022 09:48, Marco Bertorello ha scritto: > >> Formalmente puo' anche non essere una violazione della licenza, >
Direi che quasi sicuramente non lo è: il codice rimane open e a >
disposizione. > >> ma e' un pericoloso precedente IMHO e stride con la
filosofia >> della Software Libero che conosciamo. > Su questo sono
d'accordo. > > Inoltre getta ombre di sospetto su tutto il sw
libero/open (come se > certe cose non potessero capitare su sw closed...
ma ovviamente non > fa notizia perché più facilmente mascherabile da
bug). >