<p>追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである<code>1.4.0</code>へと変更されました。</p>
<ul>
<li><a href="https://github.com/advisories/GHSA-5rqg-jm4f-cqx7" target="_blank" rel="nofollow noopener noreferrer">Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database</a></li>
</ul>
<hr>
<p>2022-01-08 に <code>colors</code> というnpmパッケージにDoS攻撃のコードが含まれたバージョンが<code>1.4.44-liberty-2</code>として公開されました。</p>
<ul>
<li>GitHub: <a href="https://github.com/Marak/colors.js" target="_blank" rel="nofollow noopener noreferrer">https://github.com/Marak/colors.js</a>
</li>
<li>npm: <a href="https://www.npmjs.com/package/colors" target="_blank" rel="nofollow noopener noreferrer">https://www.npmjs.com/package/colors</a>
</li>
<li>問題についてのIssue: <a href="https://github.com/Marak/colors.js/issues/285" target="_blank" rel="nofollow noopener noreferrer">https://github.com/Marak/colors.js/issues/285</a>
</li>
<li>今後についてのIssue: <a href="https://github.com/Marak/colors.js/issues/317" target="_blank" rel="nofollow noopener noreferrer">https://github.com/Marak/colors.js/issues/317</a>
</li>
</ul>
<p><a href="https://www.npmjs.com/package/colors" target="_blank" rel="nofollow noopener noreferrer">colors</a>の次のバージョンには、無限ループが発生するDoS攻撃のコードが含まれています。</p>
<ul>
<li>1.4.44-liberty-2</li>
<li>1.4.1</li>
<li>1.4.2</li>
</ul>
<p>Semantic Versioningにより <code>^1.0.0</code> を指定している場合は、2022-01-10時点での1.x.xの最新である1.4.2が選択される危険な状態となっています。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/a5deb2637c29-20220110.png" alt loading="lazy" class="md-img"></p>
<blockquote>
<p><a href="https://semver.npmjs.com/" target="_blank" rel="nofollow noopener noreferrer">https://semver.npmjs.com/</a></p>
</blockquote>
<h2 id="%E5%BD%B1%E9%9F%BF%E3%82%92%E5%8F%97%E3%81%91%E3%82%8B%E3%83%91%E3%83%83%E3%82%B1%E3%83%BC%E3%82%B8">
<a class="header-anchor-link" href="#%E5%BD%B1%E9%9F%BF%E3%82%92%E5%8F%97%E3%81%91%E3%82%8B%E3%83%91%E3%83%83%E3%82%B1%E3%83%BC%E3%82%B8" aria-hidden="true"></a> 影響を受けるパッケージ</h2>
<p><a href="https://www.npmjs.com/package/colors" target="_blank" rel="nofollow noopener noreferrer">colors</a>の次のバージョンを利用している場合は、影響を受けます。</p>
<ul>
<li>1.4.44-liberty-2</li>
<li>1.4.1</li>
<li>1.4.2</li>
</ul>
<p>また、<code>colors</code>はターミナルに出力するログの色付けに広く利用されているため、<code>colors</code>を使っているライブラリを使ってるケースやツールも影響を受ける可能性があります。</p>
<p>具体的にはwinston, http-server, cypress, karma, aws-cdk, promptなどが影響を受け、直接的/間接的な依存を含めると最大<a href="https://deps.dev/npm/colors/1.4.1/dependents" target="_blank" rel="nofollow noopener noreferrer">5万以上のパッケージ</a>がこの問題の影響を受けます。</p>
<ul>
<li><a href="https://github.com/winstonjs/winston/issues/2010" target="_blank" rel="nofollow noopener noreferrer">https://github.com/winstonjs/winston/issues/2010</a></li>
<li><a href="https://github.com/http-party/http-server/pull/783" target="_blank" rel="nofollow noopener noreferrer">https://github.com/http-party/http-server/pull/783</a></li>
<li><a href="https://github.com/cypress-io/cypress/pull/19622" target="_blank" rel="nofollow noopener noreferrer">https://github.com/cypress-io/cypress/pull/19622</a></li>
<li><a href="https://github.com/karma-runner/karma/issues/3738" target="_blank" rel="nofollow noopener noreferrer">https://github.com/karma-runner/karma/issues/3738</a></li>
<li><a href="https://github.com/aws/aws-cdk/issues/18322" target="_blank" rel="nofollow noopener noreferrer">https://github.com/aws/aws-cdk/issues/18322</a></li>
<li><a href="https://github.com/flatiron/prompt/issues/220" target="_blank" rel="nofollow noopener noreferrer">https://github.com/flatiron/prompt/issues/220</a></li>
</ul>
<h2 id="%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95">
<a class="header-anchor-link" href="#%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95" aria-hidden="true"></a> 確認方法</h2>
<p><code>colors</code>を利用しているかは、次のコマンドで確認できます。</p>
<p>npmの場合</p>
<div class="code-block-container"><pre><code>npm ls colors
</code></pre></div><p>yarnの場合</p>
<div class="code-block-container"><pre><code>yarn why colors
</code></pre></div><p>それぞれの出力結果に、影響を受けている<code>colors</code>のバージョンがある場合は、対応が必要になります。</p>
<p>また、<code>colors</code>への依存があるが、バージョンが<code>1.4.0</code>以下のバージョンの場合は、<code>yarn.lock</code>や<code>package-lock.json</code>などのロックファイルがあるかを確認してください。<br>
ロックファイルがない場合は、<code>npm install</code>などをした際にインストールされるバージョンが変わる可能性があるため、ロックファイルまたは後述する対応が必要です。</p>
<h2 id="%E5%AF%BE%E5%BF%9C%E6%96%B9%E6%B3%95">
<a class="header-anchor-link" href="#%E5%AF%BE%E5%BF%9C%E6%96%B9%E6%B3%95" aria-hidden="true"></a> 対応方法</h2>
<p><a href="https://www.npmjs.com/package/colors" target="_blank" rel="nofollow noopener noreferrer">colors</a>のAuthorである<a href="https://www.npmjs.com/~marak" target="_blank" rel="nofollow noopener noreferrer">Marak</a>のアカウントでpublishされており、またcolorsの他のAuthorはこのDoS攻撃のコードが含まれたバージョンの公開と同時にアクセス権が削除されています。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/e7ea7fd2a771-20220110.png" alt="deps.devのEvent履歴" loading="lazy" class="md-img"></p>
<blockquote>
<p><a href="https://deps.dev/npm/colors/1.4.2/" target="_blank" rel="nofollow noopener noreferrer">https://deps.dev/npm/colors/1.4.2/</a></p>
</blockquote>
<p>そのため、この問題の根本的な対応ができるのは、<a href="https://www.npmjs.com/~marak" target="_blank" rel="nofollow noopener noreferrer">Marak</a>本人かnpmの管理者となります。</p>
<p><s>2022-01-10時点では、公式に修正された<code>colors</code>の新しいバージョンはありません。~<br>
~そのため、アップデートではなく安全なバージョンへ固定するなどといった回避策で修正が必要です。</s></p>
<p>追記(2022-01-11): 問題のあるバージョンがnpmから非公開となりました。</p>
<p>問題のあった 1.4.1, 1.4.2, 1.4.44-liberty-2 がnpm上で非公開となり、安全であった 1.4.0 がnpmの最新のバージョンとなるように修正されました。<br>
そのため、緊急的な対応は不要となりました。</p>
<p>また、GitHubによりこの問題のセキュリティアドバイザリーが公開されています。</p>
<ul>
<li><a href="https://github.com/advisories/GHSA-5rqg-jm4f-cqx7" target="_blank" rel="nofollow noopener noreferrer">Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database</a></li>
</ul>
<h2 id="%E4%B8%80%E6%99%82%E7%9A%84%E3%81%AA%E5%AF%BE%E5%BF%9C%E6%96%B9%E6%B3%95">
<a class="header-anchor-link" href="#%E4%B8%80%E6%99%82%E7%9A%84%E3%81%AA%E5%AF%BE%E5%BF%9C%E6%96%B9%E6%B3%95" aria-hidden="true"></a> 一時的な対応方法</h2>
<p><code>colors@1.4.0</code>は問題ないコードであることが確認されています。</p>
<ul>
<li>1.4.0と1.4.1のDiff: <a href="https://diff.intrinsic.com/colors/1.4.0/1.4.1" target="_blank" rel="nofollow noopener noreferrer">https://diff.intrinsic.com/colors/1.4.0/1.4.1</a>
</li>
</ul>
<p>また、npmでは2016年の通称leftpadという問題をきっかけに、publishしてから24時間以上経過したパッケージのunpublishは基本的にできません。<br>
そのため、colors.jsの1.4.0の内容が基本的に変わることはありません。</p>
<ul>
<li><a href="https://web.archive.org/web/20160323000303/https://medium.com/@azerbike/i-ve-just-liberated-my-modules-9045c06be67c" target="_blank" rel="nofollow noopener noreferrer">I’ve Just Liberated My Modules — Medium</a></li>
<li><a href="https://blog.npmjs.org/post/141905368000/changes-to-npms-unpublish-policy" target="_blank" rel="nofollow noopener noreferrer">npm Blog Archive: changes to npm’s unpublish policy</a></li>
</ul>
<p>そのため、この問題への一時的な対応方法としては、<code>colors</code>を<code>1.4.0</code>のバージョンに固定する方法があります。</p>
<p>直接<code>colors</code>パッケージを利用している場合は、依存するバージョンを<code>colors@1.4.0</code>へ固定する必要があります。</p>
<div class="code-block-container"><pre class="language-json"><code class="language-json"><span class="token punctuation">{</span>
  <span class="token property">"dependencies"</span><span class="token operator">:</span> <span class="token punctuation">{</span>
    <span class="token property">"colors"</span><span class="token operator">:</span> <span class="token string">"1.4.0"</span>
  <span class="token punctuation">}</span>
<span class="token punctuation">}</span>
</code></pre></div><p>ライブラリが<code>colors</code>に依存(間接的な依存)している場合は、この方法では固定できません。<br>
たとえば、アプリケーションが<code>winston</code>を使っていて、<code>winston</code>が<code>colors</code>へ依存しているようなケースなど。<br>
これらの間接的な依存も、Yarnやnpmなどのパッケージマネージャの機能を利用してバージョンを固定する方法があります。</p>
<h3 id="yarn%E3%81%A7%E3%81%AEresolutions%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%9F%E5%9B%BA%E5%AE%9A%E6%96%B9%E6%B3%95">
<a class="header-anchor-link" href="#yarn%E3%81%A7%E3%81%AEresolutions%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%9F%E5%9B%BA%E5%AE%9A%E6%96%B9%E6%B3%95" aria-hidden="true"></a> Yarnでの<code>resolutions</code>を使った固定方法</h3>
<p>Yarnにはresolutionsという間接的な依存を含めた特定のライブラリのバージョンを固定する機能があります。</p>
<p><code>package.json</code>に<code>resolutions</code>フィールドを追加し、次のように<code>colors</code>のバージョンを固定することでこの問題を回避できます。</p>
<div class="code-block-container"><pre class="language-json"><code class="language-json"><span class="token punctuation">{</span>
  <span class="token property">"resolutions"</span><span class="token operator">:</span> <span class="token punctuation">{</span>
    <span class="token property">"colors"</span><span class="token operator">:</span> <span class="token string">"1.4.0"</span>
  <span class="token punctuation">}</span>
<span class="token punctuation">}</span>
</code></pre></div><p>Example:</p>
<ul>
<li><a href="https://github.com/azu/colors-resolutions-example/tree/main/yarn" target="_blank" rel="nofollow noopener noreferrer">https://github.com/azu/colors-resolutions-example/tree/main/yarn</a></li>
</ul>
<p>Documentations:</p>
<ul>
<li>yarn v1: <a href="https://classic.yarnpkg.com/lang/en/docs/selective-version-resolutions/" target="_blank" rel="nofollow noopener noreferrer">Selective dependency resolutions | Yarn</a>
</li>
<li>yarn v2+: <a href="https://yarnpkg.com/cli/set/resolution" target="_blank" rel="nofollow noopener noreferrer"><code>yarn set resolution</code> | Yarn - Package Manager</a>
</li>
<li><a href="https://numb86-tech.hatenablog.com/entry/2020/05/26/170627" target="_blank" rel="nofollow noopener noreferrer">package.json の resolutions を使って依存パッケージのバージョンを指定する - 30歳からのプログラミング</a></li>
</ul>
<h3 id="npm-8.3%2B%E3%81%A7%E3%81%AEoverrides%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%9F%E5%9B%BA%E5%AE%9A%E6%96%B9%E6%B3%95">
<a class="header-anchor-link" href="#npm-8.3%2B%E3%81%A7%E3%81%AEoverrides%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%9F%E5%9B%BA%E5%AE%9A%E6%96%B9%E6%B3%95" aria-hidden="true"></a> npm 8.3+での<code>overrides</code>を使った固定方法</h3>
<p><a href="https://github.com/npm/cli/releases/tag/v8.3.0" target="_blank" rel="nofollow noopener noreferrer">npm 8.3.0</a>で<code>overrides</code>というYarnのresolutionsと類似する機能が実装されています。</p>
<p><code>package.json</code>に<code>overrides</code>フィールドを追加し、次のように<code>colors</code>のバージョンを1.4.0へ固定することでこの問題を回避できます。</p>
<div class="code-block-container"><pre class="language-json"><code class="language-json"><span class="token punctuation">{</span>
  <span class="token property">"overrides"</span><span class="token operator">:</span> <span class="token punctuation">{</span>
    <span class="token property">"colors@1"</span><span class="token operator">:</span> <span class="token string">"1.4.0"</span>
  <span class="token punctuation">}</span>
<span class="token punctuation">}</span>
</code></pre></div><p>Example:</p>
<ul>
<li><a href="https://github.com/azu/colors-resolutions-example/tree/main/npm-8" target="_blank" rel="nofollow noopener noreferrer">https://github.com/azu/colors-resolutions-example/tree/main/npm-8</a></li>
</ul>
<p>Documentations:</p>
<ul>
<li><a href="https://docs.npmjs.com/cli/v8/configuring-npm/package-json#overrides" target="_blank" rel="nofollow noopener noreferrer">https://docs.npmjs.com/cli/v8/configuring-npm/package-json#overrides</a></li>
<li><a href="https://github.com/npm/rfcs/blob/main/accepted/0036-overrides.md" target="_blank" rel="nofollow noopener noreferrer">overrides</a></li>
</ul>
<h3 id="npm-8.3%E6%9C%AA%E6%BA%80%E3%81%A7%E3%81%AE%E5%9B%BA%E5%AE%9A%E6%96%B9%E6%B3%95">
<a class="header-anchor-link" href="#npm-8.3%E6%9C%AA%E6%BA%80%E3%81%A7%E3%81%AE%E5%9B%BA%E5%AE%9A%E6%96%B9%E6%B3%95" aria-hidden="true"></a> npm 8.3未満での固定方法</h3>
<p>残念ながら公式な方法はないと思います。(あったらコメントください）<br>
package-lock.jsonを直接編集するか<a href="https://www.npmjs.com/package/npm-force-resolutions" target="_blank" rel="nofollow noopener noreferrer">npm-force-resolutions - npm</a>などで編集する必要があります。</p>
<ul>
<li><a href="https://stackoverflow.com/questions/15806152/how-do-i-override-nested-npm-dependency-versions" target="_blank" rel="nofollow noopener noreferrer">node.js - How do I override nested NPM dependency versions? - Stack Overflow</a></li>
</ul>
<h3 id="%E3%81%9D%E3%81%AE%E4%BB%96%E3%81%AE%E4%BB%A3%E6%9B%BF%E3%83%A9%E3%82%A4%E3%83%96%E3%83%A9%E3%83%AA%E3%81%B8%E7%A7%BB%E8%A1%8C%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#%E3%81%9D%E3%81%AE%E4%BB%96%E3%81%AE%E4%BB%A3%E6%9B%BF%E3%83%A9%E3%82%A4%E3%83%96%E3%83%A9%E3%83%AA%E3%81%B8%E7%A7%BB%E8%A1%8C%E3%81%99%E3%82%8B" aria-hidden="true"></a> その他の代替ライブラリへ移行する</h3>
<p><a href="https://github.com/DABH" target="_blank" rel="nofollow noopener noreferrer">@DABH</a>による1.4.0相当のライブラリが<a href="https://www.npmjs.com/package/@dabh/colors" target="_blank" rel="nofollow noopener noreferrer"><code>@dabh/colors</code></a>として公開されています。<br>
<a href="https://github.com/DABH" target="_blank" rel="nofollow noopener noreferrer">@DABH</a>は<code>colors</code>のメンテナーで、この問題が起きた際に<a href="https://deps.dev/npm/colors/1.4.2/" target="_blank" rel="nofollow noopener noreferrer">誰かによって<code>colors</code>へのアクセス権限が削除されています</a></p>
<ul>
<li><a href="https://github.com/Marak/colors.js/issues/285#issuecomment-1008212640" target="_blank" rel="nofollow noopener noreferrer">https://github.com/Marak/colors.js/issues/285#issuecomment-1008212640</a></li>
</ul>
<h2 id="%E9%A1%9E%E4%BC%BC%E3%81%99%E3%82%8B%E5%95%8F%E9%A1%8C">
<a class="header-anchor-link" href="#%E9%A1%9E%E4%BC%BC%E3%81%99%E3%82%8B%E5%95%8F%E9%A1%8C" aria-hidden="true"></a> 類似する問題</h2>
<p>colors.jsと同様の作者(Marak)によって公開されていた、faker.jsも空の内容が<code>6.6.6</code>として公開され、リポジトリも空になっています</p>
<ul>
<li><a href="https://github.com/marak/Faker.js/" target="_blank" rel="nofollow noopener noreferrer">Marak/faker.js: What really happened with Aaron Swartz?</a></li>
<li><a href="https://www.npmjs.com/package/faker" target="_blank" rel="nofollow noopener noreferrer">faker - npm</a></li>
</ul>
<p>Marakがアクセス権(Owner または Maintainer)を持っているパッケージの一覧は次のとおりです。</p>
<ul>
<li><a href="https://gist.github.com/azu/11b105a9e35dc9d5f07312c24a35c82b" target="_blank" rel="nofollow noopener noreferrer">https://gist.github.com/azu/11b105a9e35dc9d5f07312c24a35c82b</a></li>
</ul>
<h2 id="%E9%96%A2%E9%80%A3%E3%81%99%E3%82%8B%E8%A8%98%E4%BA%8B">
<a class="header-anchor-link" href="#%E9%96%A2%E9%80%A3%E3%81%99%E3%82%8B%E8%A8%98%E4%BA%8B" aria-hidden="true"></a> 関連する記事</h2>
<ul>
<li><a href="https://snyk.io/blog/open-source-npm-packages-colors-faker/" target="_blank" rel="nofollow noopener noreferrer">Open source maintainer pulls the plug on npm packages colors and faker, now what? | Snyk</a></li>
</ul>
<h2 id="%E9%96%A2%E9%80%A3%E3%81%99%E3%82%8B%E8%AD%B0%E8%AB%96">
<a class="header-anchor-link" href="#%E9%96%A2%E9%80%A3%E3%81%99%E3%82%8B%E8%AD%B0%E8%AB%96" aria-hidden="true"></a> 関連する議論</h2>
<ul>
<li><a href="https://github.com/npm/rfcs/issues/509" target="_blank" rel="nofollow noopener noreferrer">[RRFC] Change the default save-prefix from ^ to none · Issue #509 · npm/rfcs</a></li>
</ul>


colorsなどのnpmパッケージに悪意あるコードが含まれている問題について

Yarnでのresolutionsを使った固定方法

npm 8.3+でのoverridesを使った固定方法

その他の代替ライブラリへ移行する

Discussion