yarnpkg/yarn

Files are extracted before their hashes are checked.

Open

#4.638 geöffnet am 5. Okt. 2017

Auf GitHub ansehen
 (13 Kommentare) (0 Reaktionen) (0 zugewiesene Personen)JavaScript (41.514 Stars) (2.731 Forks)batch import
cat-featuregood first issuehelp wantedtriaged

Beschreibung

Do you want to request a feature or report a bug? A bug.

What is the current behavior? Currently, downloaded files are extracted before their hashes are checked. https://github.com/yarnpkg/yarn/blob/master/src/fetchers/tarball-fetcher.js#L75

What is the expected behavior? Files should be verified before they are extracted.

Contributor Guide

Tech Stack
javascriptnodejs
Domain
cli
Issue Type
bug
SchwierigkeitGeschätzte Implementierungsschwierigkeit für neue Contributors, von 1 für sehr kleine Änderungen bis 5 für Expertenarbeit.
3
Geschätzte ZeitEin grober Zeitrahmen, um zu recherchieren, zu implementieren, zu testen und einen Pull Request vorzubereiten.
1-3 hours
AktivitätsstatusWie verfügbar das Issue gerade wirkt: frisch, aktiv, stale, blockiert oder wartet auf Maintainer-Input.
stale
KlarheitWie klar das Issue die erwartete Änderung, Akzeptanzkriterien und den nächsten Schritt erklärt.
clear
Voraussetzungen
JavaScriptNode.js async patterns
EinsteigerfreundlichkeitEin Score von 1 bis 100, der schätzt, wie zugänglich dieses Issue für First-Time Contributors ist.
30
Research-Richtung
Investigate the tarball fetcher.js file at line 75. The current code extracts the tarball before verifying the hash. To fix, move the hash verification step to occur before the extraction. Look at how the hash is computed and compared in the codebase, and ensure the downloaded file's hash is checked prior to extraction. The fix should be a localized change in the same file.