NPM 开发者遭遇“418 我是茶壶”错误码；Git 曝任意代码执行漏洞，所有使用者都受影响

2018 年 5 月 31 日 技术最前线

（点击上方蓝字，快速关注我们）

转自：开源中国、solidot、cnBeta、腾讯科技等

0、NPM 开发者遭遇“418 我是茶壶”错误码

IETF 的愚人节笑话“418 我是茶壶”错误码至今已有二十年历史了。这个错误码被 Node.js、ASP.NET 和 Google 的 Go 语言将其作为彩蛋实现了。结果本周，世界各地的大量用 NPM JavaScript 包管理器的开发者都遭遇了该错误码。

当开发者尝试更新或安装新的 JavaScript/Node.js 包时，他们的终端或应用程序出现了“ERR! 418 I'm a teapot”。不是所有开发者都受到影响，受影响的是那些使用代理服务器的开发者。

1、Git 曝任意代码执行漏洞，所有使用者都受影响

Git 由于在处理子模块代码库的设置档案存在漏洞，导致开发者可能遭受任代码执行攻击，多数代码托管服务皆已设置拒绝有问题的代码储存库，但建议使用者尽快更新，避免不必要的风险。

此代码是 CVE 2018-11235 中的一个安全漏洞。当用户在恶意代码库中操作时，他们可能会受到任意代码执行攻击。远程代码存储库包含子模块定义和数据，它们作为文件夹捆绑在一起并提交给父代码存储库。

2、23 岁黑客被控受雇于俄间谍侵入电邮，获刑 5 年

23 岁的加拿大男子 Karim Baratov 去年承认和俄罗斯联邦安全局黑客合作在 2014 年对雅虎发动钓鱼攻击，导致五亿雅虎用户账号失窃，旧金山联邦法官本周宣布了判决：五年徒刑外加 25 万美元罚款。

3、TypeScript 2.9.1 发布

TypeScript 2.9.1 发布了，此次更新升级了 LKG。TypeScript 是由微软开发的自由和开源的编程语言，是 JavaScript 类型的超集，它可以编译成纯 JavaScript ，可以在任何浏览器、任何计算机和任何操作系统上运行。（详情：https://github.com/Microsoft/TypeScript/releases/tag/v2.9.1）

4、PHP 框架与可重用 PHP 组件集 Symfony 4.1.0 发布

Symfony 4.1.0 发布了，此次更新修复了两个 bug：

● bug #27420 还原“feature #26702 标记 ExceptionInterfaces 可抛出 (ostrolucky)" (@nicolas-grekas)

● bug #27415 在 AbstractController 中插入正确的 parameter_bag 服务 (@curry684)

● ......（详情：https://github.com/symfony/symfony/archive/v4.1.0.zip）

5、Erlang 编写的应用服务器 OTP 21.0 RC 2 发布

OTP 21.0 RC 2 发布了，这是 OTP 21 发布前的两个计划发布候选版本中的第二个。此次更新部分包括 Erts、Compiler、Security 与 Standard libraries，如下：

● 增强的 IO 可扩展性

● 支持对替代传输、路由等使用分配控制器进程

● 编译器优化包括来自 Elixir 团队的贡献，基准测试提高10％

● ......（详情：https://github.com/erlang/otp/archive/OTP-21.0-rc2.zip）

6、Gitlab 10.8.3 发布