openSUSE 16 セキュリティ更新pnpmopenSUSE-SU-2025-20115-1]
medium Nessus プラグイン ID 277012
Language:
概要
リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。説明
リモートの openSUSE 16 ホストには、openSUSE-SU-2025-20115-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。pnpm の変更
- 10.22.0 への更新:
* マイナーな変更
- trustPolicyExclude のサポートを追加 #10164。
パッケージがトラストポリシーの要件を満たしていなくても、pnpm がインストールを許可するべき特定のパッケージまたはバージョンを 1 つ以上リストできるようになりました。例:
trustPolicyno-downgrade trustPolicyExclude
- [email protected]
- [email protected] || 5.102.1
- publishConfig.engines フィールドによるパブリッシュ上のエンジンフィールドのオーバーライドを許可します。
* パッチ変更
- pnpm の 2 つのプロセスが、ディレクトリのコンテンツを同じ宛先に同時にハードリンクする場合、クラッシュしません #10179
- 10.21.0 への更新:
* マイナーな変更
- 依存関係の Node.js Runtime インストール。依存関係に対する Node.js Runtime の自動インストールのサポートが追加されました。
依存関係が engine フィールドで Node.js ランタイムを宣言する場合、pnpm はその依存関係で必要となる Node.js バージョンをインストールするようになりました。例:
{engines: {runtime: {name: node, version:^24.11.0, onFail: download}}}
Node.js runtime 依存関係のあるパッケージが CLI アプリの場合、pnpm は CLI アプリを必要な Node.js バージョンにバインドします。これにより、グローバルにインストールされている Node.js インスタンスに関係なく、CLI は互換バージョンの Node.js を使用します。
パッケージにポストインストールスクリプトがある場合、指定されたNode.jsバージョンを使用してそのスクリプトが実行されます。
関連 PR #10141
- 新しい設定trustPolicyを追加しました。
ダウングレードなしに設定されている場合、パッケージの信頼レベルが以前のリリースと比較して減少している場合、たとえば、信頼できる発行元によって以前は公開されていたが、現在は実証のみ、または信頼できる証拠がない場合、pnpm はインストールに失敗します。
これは、パッケージの潜在的に危険なバージョンのインストールを防ぐのに役立ちます。
関連問題 #8889。
- グローバル構成ファイルパスを取得するために pnpm config get globalconfig のサポートを追加 #9977。
* パッチ変更
- ユーザーが package.json に直接リストされていない依存関係で pnpm 更新を実行する場合、直接的な依存関係はいずれも更新されるべきではありません #10155。
- pnpm の 2 つのプロセスが、ディレクトリのコンテンツを同じ宛先に同時にハードリンクする場合、クラッシュしません #10160
- pnpm-workspace.yaml 経由で gitBranchLockfile と関連する設定を設定すると、動作するはずです #9651。
- 10.20.0 への更新:
* マイナーな変更
- すべてのコマンドをリストするために pnpm --help の --all オプションをサポートします #8628。
* パッチ変更
- 最新バージョンが MaximumReleaseAge で構成された成熟度要件を満たしていない場合は、異なるメジャーバージョンがあっても、十分成熟している最高バージョンを選択します #10100
- create コマンドはパッチ情報を検証するべきではありません。
- pnpm CLI の異なるバージョンに切り替える場合、その後の切り替えを回避するために、managePackageManagerVersions を false に設定します #10063
- 10.19.0 への更新:
* マイナーな変更
- 特定のバージョンの依存関係が、ポストインストールスクリプトを実行するのを許可できるようになりました。 onlyBuiltDependencies は信頼できるバージョンのリストと共にパッケージ名を受け入れます。例:
関連 PR #10104
onlyBuiltDependencies
- [email protected] || 21.6.5
- [email protected]
- MaximumReleaseAgeExclude における正確なバージョンのサポートを追加しました #9985
pnpm がインストールを許可する 1 つ以上の特定のバージョンをリストできるようになりました。これは、それらのバージョンが MaximumReleaseAge で設定された成熟度要件を満たしていない場合でも同じことが言えます。例:
MaximumReleaseAge: 1440 MaximumReleaseAgeExclude
- [email protected]
- [email protected] || 5.102.1
- 10.18.3 への更新:
* パッチ変更
- verifyDepsBeforeInstall を使用する際に pnpm が無限再帰するバグを修正します他の pnpm スクリプトを呼び出すインストールおよび事前/事後処理のスクリプトをインストールします #10060。
- pnpm config get でプロパティパスとして解析される、スコープされたレジストリキー例、@scope:registryを修正しました
--location=project が使用されています #9362。
- 不明な cli 構成の警告を防ぐために npm publish に渡す前に pnpm 固有の CLI オプションを削除します #9646
- bin フィールドがディレクトリを指し示す際の EISDIR エラーを修正しました #9441。
- バリエーションパッケージ用のバージョン および hasBin を保存します #10022。
- pnpm 構成セットを修正しました --location=project スラッシュ付きのキーを不適切に処理します認証トークン、レジストリ設定 #9884。
- pnpm-workspace.yaml と .npmrc の両方が存在する場合、pnpm 構成セット --location=project は現在、pnpm-workspace.yaml に書き込みます読み取り優先度の照合 #10072。
- 期限切れの pnpm でのテーブル幅エラーを防ぎます --long #10040。
- 注入された依存関係がビルドスクリプトにより更新された後にバイナリリンクを同期します。これにより、ビルドプロセス中に作成されるバイナリが適切にリンクされ、消費するプロジェクトにアクセスできるようになります #10057。
- 10.18.2 への更新:
* パッチ変更
- pnpm の旧式 --long は、動作する必要があります #10040。
- ndjson を split2 で置換します。pnpm CLI のバンドルサイズを縮小します #10054
- pnpm dlx は、MinimumReleaseAge が設定されている場合、パッケージの完全なメタデータをリクエストする必要があります #9963。
- pnpm のバージョン切り替えは、pnpm ホームディレクトリがシンボリックリンクされたディレクトリにある場合に動作するはずです #9715。
- 出力を他のコマンドにパイプする際の EPIPE エラーを修正します #10027
- 10.18.1 への更新:
* パッチ変更
- --lockfile-only が使用されている場合、警告を出力しません #8320。
- pnpm セットアップは、pnpm 実行可能ファイルに対してコマンド shim を作成します。
これは、Windows で pnpm の自己更新を実行できるために必要です #5700。
- pnpm カタログを使用し、通常の pnpm のインストールを実行する場合、pnpm は、すでに存在するため、デフォルトのカタログへの追加をスキップするために、間違った偽陽性の警告を生成していました。この警告は現在、当初の意図に従い、pnpm add --save-catalog を使用している場合のみを印刷します。
- 10.18.0 への更新:
* マイナーな変更
- メタデータのフェッチと tarball のダウンロードの両方を含む、遅いネットワークリクエストに対する警告を実装することで、ネットワークパフォーマンス監視を pnpm に追加しました。
警告しきい値の設定オプションを追加しました。
fetchWarnTimeoutMs および fetchMinSpeedKiBps。
リクエストが時間のしきい値を超えた場合、または速度の最小値を下回った場合に、警告メッセージが表示されます。関連 PR #10025。
* パッチ変更
- EAGAIN エラー時にファイルシステム操作を再試行します #9959
- 古いコマンドが MaximumReleaseAge 構成に順守します #10030。
- 依存パッケージを削除する際に、cleanupUnusedCatalogs 構成を適切に適用します。
- scriptShell が false に設定されている場合、意味のないエラーで失敗しません #8748
- MaximumReleaseAge が設定されている場合、pnpm dlx は失敗すべきではありません #10037。
- 10.17.1 への更新:
* パッチ変更
- バージョンが minReleaseAge 設定を満たしていないために、バージョン指定子を解決できない場合、この情報をエラーメッセージの中に出力します #9974。
- ワークスペースプロジェクトで pnpm パッチを実行する際の state.json 作成パスを修正します #9733
- MaximumReleaseAge が設定されていて、最新のタグが十分に成熟していない場合、非推奨バージョンを新しい最新 #9987として優先します。
- 10.17 への更新:
* マイナーな変更
- MaximumReleaseAgeExclude 設定がパターンをサポートするようになりました。
例:
MaximumReleaseAge: 1440 MaximumReleaseAgeExclude
- @eslint/*
* パッチ変更
- パッケージが正確なバージョンでリクエストされ、パッケージがキャッシュからロードされる場合、MinimumReleaseAge チェックを無視しません #9978
- MaximumReleaseAge が設定されており、dist-tag 付きのアクティブなバージョンが十分に成熟していない場合、元のバージョンがプレリリースバージョンにダウングレードしないでください #9979。
- 10.16.1 への更新:
* パッチ変更
- 完全なメタデータのキャッシュは、省略されたメタデータと同じ場所に保存しないでください。これは、pnpm がキャッシュから省略されたメタデータをロードしていたため、結果として時間フィールドを見つけられなかったバグを修正します #9963。
- パッチ diff を生成する際に ANSI カラーコードを強制的に無効にします #9914
- 10.16 への更新:
* マイナーな変更
- 最近、一般的なパッケージが攻撃に成功するインシデントがいくつか発生しました。危険にさらされたバージョンをインストールするリスクを軽減するために、新しくリリースされた依存関係のインストールを遅らせる新しい設定を導入しています。ほとんどの場合、このような攻撃はすぐに発見され、悪意のあるバージョンは 1 時間以内にレジストリから削除されます。
- 新しい設定は MaximumReleaseAge と呼ばれています。これは、あるバージョンが公開された後に pnpm がそのバージョンをインストールする前に が経過しなければならない分数を指定します。たとえば、MinimumReleaseAge: 1440 を設定すると、少なくとも 1 日前にリリースされたパッケージのみがインストールされるようになります。
- MaximumReleaseAge を設定したものの、特定の依存関係に対してこの制限を無効にする必要がある場合は、MinimumReleaseAgeExclude 設定の下にそれらの依存関係をリストすることができます。たとえば、次の設定の pnpm はリリース時間に関係なく、常に最新バージョンの webpack をインストールします。
MaximumReleaseAgeExclude
- webpack
- finder のサポートを追加 #9946
過去に、pnpm list と pnpm 理由は、名前でのみ依存関係を検索できましたオプションでバージョン。例:
pnpm の最小化の理由
は、インストールされている minimist のインスタンスに対して、依存関係のチェーンを出力します。
verdaccio 5.20.1 handlebars 4.7.7 minimist 1.2.8 mv 2.1.1 mkdirp 0.5.6 minimist 1.2.8
依存関係の名前だけでなく、他のプロパティで検索したい場合はどうすればよいですか。たとえば、ピア依存関係に反応@17 があるすべてのパッケージを見つけますか? これは finder 機能で現在可能です。Finder 関数は、.pnpmfile.cjs で宣言され、pnpm list または pnpm 理由を実行する際に --find-by=<function name> フラグで呼び出されます。
ピアの依存関係に React 17 がある依存関係を見つけたいとします。この Finder を .pnpmfile.cjs に追加できます。
module.exports = {finders: {react17: (ctx) => {return ctx.readManifest().peerDependencies?.react ===^17.0.0;
},},};
現在は、以下を実行することでこの検索機能を使用できます。
pnpm の理由 --find-by=react17
pnpm は、ピア依存関係の中でこの React を持つすべての依存関係を見つけ、依存関係グラフにその正確な場所を印刷します。
@apollo/client 4.0.4 @graphql-typed-document-node/core 3.2.0 graphql-tag 2.12.6
Finder から文字列を返すことで、出力に一部の追加情報をプリントアウトすることも可能です。たとえば、次の検索結果です。
module.exports = {finders: {react17ctx) => {constマニフェスト= ctx.readManifest();
if (manifest.peerDependencies?.react ===^17.0.0) {return `license: ${manifest.license}`;
} false を返す;
},},};
一致するすべてのパッケージは、その package.json からのライセンスもプリントアウトします
@apollo/client 4.0.4 @graphql-typed-document-node/core 3.2.0 ライセンス MIT graphql-tag 2.12.6 ライセンス MIT
* パッチ変更
- Node.js 24 で pnpm を実行する際に出力された廃止の警告を修正します #9529。
- nodeVersion が正確な semver バージョンに設定されていない場合にエラーをスローします #9934
- pnpm publish は .tar.gz ファイルをパブリッシュできるはずです #9927。
- Ctrl-C で実行中のプロセスをキャンセルすると、pnpm が非ゼロ終了コードを返すように変更される必要があります #9626。
- 10.15.1 への更新:
* パッチ変更
- サブパスのインポート時の .pnp.cjs クラッシュを修正します #9904
- ピアの依存関係を解決するとき、pnpm は、ピアの依存関係がルートワークスペースプロジェクトの依存関係に存在するかどうかを調べます。この変更により、エイリアス化された npm-hosted の依存関係や他のタイプの依存関係からでも、ピアの依存関係が適切に解決されるようになります #9913。
- 10.15.0 への更新:
* マイナーな変更
- cleanupUnusedCatalogs 構成を追加しました。true に設定された場合、pnpm はインストール中に未使用のカタログエントリを削除します #9793。
- @*/pnpm-plugin-* という名前の構成依存関係から pnpmfiles を自動的にロードします #9780。
- pnpm config get は現在、オブジェクト値用の INI 文字列を出力します #9797。
- pnpm config get は、プロパティパスを受け入れるようになりました例pnpm config getCatalog.react、pnpm config get .catalog.react、pnpm config get 'packageExtensions[@babel/parser].peerDependencies[@babel/types]'、pnpm config を取得set は、ドットリードまたはサブスクリプション付きのキーを受け入れるようになりました例pnpm config set .ignoreScripts true。
- pnpm config get --json は構成値の JSON シリアル化を出力するようになり、pnpm config set --json は入力値を JSON として解析するようになりました。
* パッチ変更
- 準破壊。不足しているピアの依存関係を自動的にインストールする場合、ルートワークスペースパッケージの直接の依存関係にすでにあるバージョンを選択します #9835。
- pnpm create コマンドを実行する場合、キャッシュがすでに存在する場合でも、 はノードバージョンがサポートされているかどうかを検証する必要があります #9775。
- 省略されていないパッケージへのリクエストを行う際に、
*/* を Accept ヘッダーに呼び出して、AWS CodeArtifact で 406 エラーを回避します #9862
- pnpm のスタンドアロン exe バージョンが glibc で再び動作します 2.26#9734。
- pnpm dlx pkg --help が渡されない回帰を修正します
--help pkg #9823に。
- 10.14.0 への更新:
* マイナーな変更
- JavaScript ランタイムインストールのサポートを追加しました関連 PR: #9755。devEngines.runtimepackage.json 内で Node.js、Deno、または Bun を宣言し、pnpm にダウンロードおよびピンを自動的に行わせます。
使用例
{devEngines: {runtime: {name: node, version:^24.4.0, onFail: ダウンロード // 現在はダウンロードの値のみをサポートします}}} 仕組み:
- pnpm install は、一致する最新の runtime バージョンに対する指定された範囲を解決します。
- 正確なバージョンおよびチェックサムがロックファイルに保存されます。
- スクリプトはローカルランタイムを使用するため、環境間の一貫性が保証されます。
これがより良い理由:
- この新しい設定では、Deno および Bun もサポートされますvs. Node-only 設定の useNodeVersion および ExecutionEnv.nodeVersion
- バージョン範囲をサポートします (固定バージョンではありません)。
- 解決されたバージョンは、Node.js コンテンツの有効性を将来検証するために整合性チェックサムとともに pnpm ロックファイルに保存されます。
- 任意のワークスペースプロジェクト(executionEnv.nodeVersion など)で使用できます。そのため、ワークスペース内のプロジェクトごとに異なるランタイムが使用されます。
- 現在は、devEngines.runtime 設定はランタイムをローカルにインストールします。これは、コンピューター上の共有場所を使用することで、pnpm の将来的なバージョンで改善されます。
- --cpu、 --libc、 --os を pnpm install、pnpm add、および pnpm dlx に追加し、CLI を介して supported Architecturees をカスタマイズします #7510。
* パッチ変更
- pnpm add が、その libc が pnpm.supportedArchitectures.libc と異なるダウンロードパッケージを追加するバグを修正します。
- ダウンロードされた Node.js アーティファクトの整合性が検証されます #9750
- dlx コマンドとコマンドの間で CLI フラグとオプションを解析し、dlx コマンドと の間で実行することができます。
-- #9719.
- pnpm インストール --prod は、ラッピングされた dev 依存関係を削除する必要があります #9782。
- ローカル tarball が仮想ストアに再リンクしないようにするエッジケースバグを修正します。このバグは、ファイル名を変更せずに tarball の内容を変更し、フィルター処理されたインストールを実行する場合に発生します。
- ピア依存関係のあるローカル tarball を変更した後に、pnpm インストールがロックファイルを最新であると間違って想定するバグを修正します。
- 10.13.1 への更新:
* パッチ変更
- プラグインの pnpmfiles の後にユーザーが定義した pnpmfiles を実行します。
- 10.13.0 への更新:
* マイナーな変更
- 複数の pnpmfiles をロードできるようにしました。pnpmfile 設定は現在、pnpmfile の場所のリストを受け入れることができます #9702。
- pnpm は現在、@pnpm/plugin-* または pnpm-plugin-* という名前の構成依存関係から pnpmfile.cjs ファイルを自動的にロードします #9729。
- 構成依存関係が初期化される順序は、アルファベット順で初期化されるべきではありません。特定の順序が必要な場合は、pnpm-workspace.yaml での pnpmfile 設定を使用して、構成依存関係にある pnpmfile.cjs ファイルへのパスを明示的にリスト化できます。
* パッチ変更
- pkg.pr.new を通じてインストールされた依存関係にパッチを適用する場合、それらを Git tarball URL として扱います #9694。
-危険なlyAllowAllBuilds、onlyBuiltDependencies、onlyBuiltDependenciesFile、およびneverBuiltDependenciesで、ローカルプロジェクトの構成とグローバル構成の間の競合を防ぎます #9628
- 深い pnpm-workspace.yaml でキーをソートします #9701
- pnpm 再構築コマンドは、 ignoreBuiltDependencies に含まれている pkgs を node_modules/.modules.yaml の ignoreBuilds に追加するべきではありません #9338。
- コマンド引数の引用のために shell-quote を shlex で置換しました #9381。
- 10.12.4 への更新:
* パッチ変更
- ローカルの依存関係用の pnpm ライセンスコマンドを修正します #9583
- pnpm ls --filter=not-exist --json が空の配列の代わりに何も出力しないバグを修正します #9672。
- ピア依存関係の解決中にときどき発生するデッドロックを修正します #9673
- pnpm フェッチの後に pnpm install を実行すると、解除が必要なすべての依存関係を解除できます。
- #9648によって v10.12.2 で導入された回帰を修正しますを解決します #9689
- 10.12.3 への更新:
* パッチ変更
- : 古いロックファイルで をインストールするときに、オプションのピア依存関係のラッピングを復元します。 #9648により v10.12.2 で導入された回帰 。を解決します #9685
- 10.12.2 への更新:
* パッチ変更
- enableGlobalVirtualStore が true に設定されているホスティングを修正しました #9648。
- pnpm create コマンドに対して想定通りに動作しない --help および -h フラグを修正します。
- pnpm ライセンスリストによる依存関係パッケージパスの出力
--json コマンドが正しくありません。
- ERR_PNPM_OUTDATED_LOCKFILE を引き起こすピア依存関係があるオーバーライドされた依存関係により、pnpm のデプロイが失敗するバグを修正します #9595。
- への更新 10.12.110.2.0 がyanek されました
* マイナーな変更
- 試験的です。グローバル仮想ストアのサポートが追加されました。有効になっている場合、node_modules には、node_modules/.pnpm ではなく、中央仮想ストアへのシンボリックリンクのみが含まれています。デフォルトでは、この中央ストアは <store-path>/links にあります (pnpm ストアパスを実行することでストアパスを見つけることができます)。
中央の仮想ストアで、各パッケージはその依存関係グラフのハッシュを名前にしたディレクトリにハードリンクされています。これにより、システム上の複数のプロジェクトが、この中央の場所から共有された依存関係をシンボリックリンクできるようになり、ウォームキャッシュが利用可能な場合にインストール速度が大幅に向上します。
これは、依存関係グラフハッシュを使用して隔離された再利用可能なパッケージディレクトリを作成する、NixOS がパッケージを管理する方法に理論上は似ています。
グローバル仮想ストアを有効にするには、root の pnpm-workspace.yaml で enableGlobalVirtualStore を true に設定するか、次によりグローバルに設定します。
pnpm config -g set enable-global-virtual-store true 注: 通常キャッシュがコールドである CI 環境では、この設定によりインストールが遅くなる可能性があります。 CI で実行中、pnpm はグローバル仮想ストアを自動的に無効にします。
関連 PR #8190
- pnpm update コマンドがカタログの更新をサポートするようになりました
プロトコル依存関係および は、pnpm-workspace.yaml に新しい指定子を書き込みます。
- 依存関係をデフォルトカタログに追加するかどうか、およびどのように追加するかをコントロールするために、新しい catalogMode 設定が利用可能です。次のようないくつかのモードに設定できます。
- strict: カタログからの依存関係バージョンのみを許可します。
カタログのバージョン範囲外に依存関係を追加すると、エラーが発生します。
-preferカタログバージョンを優先しますが、互換性のあるバージョンが見つからない場合はダイレクト依存関係にフォールバックします。
- manual (デフォルト): カタログに依存関係を自動的に追加しません。
- 2 つの新しい CLI オプションを追加しました--save-catalog および
--save-catalog-name=<name>新しい依存関係をカタログエントリとして保存するために pnpm に を追加。 summary: または catalog:<name> package.json に追加され、パッケージ指定子が catalog または catalog に追加されます [<name>] pnpm-workspace.yaml のオブジェクト #9425。
- 準破壊。副作用キャッシュに使用されるキーが変更されました。pnpm の以前のバージョンにより生成されたサイドエフェクトキャッシュがある場合、新しいバージョンではそれは使用されず、代わりに新しいキャッシュが作成されます #9605
- 現在の環境が CI であるかどうかを pnpm に明示的に通知するために ci と呼ばれる新しい設定を追加しました。
* パッチ変更
- セマンティックバージョン管理ルールを使用して pnpm パッチによって印刷されるバージョンをソートします。
- エラーメッセージが不一致の指定子を表示する方法を改善します。2 つのオブジェクト全体の代わりに差を表示します #9598
- #9574 を戻して回帰を修正 #9596。
- 10.11.1 への更新:
* パッチ変更
- root package.json にピア依存関係として workspace パッケージがある場合、pnpm deploy --legacy が予期しないディレクトリを作成する問題を修正します #9550。
- リダイレクトする URL で指定された依存関係は、変更不可の場合のみターゲットにロックされ、GitHub リリースからインストールする場合の回帰が修正されます。#9531
- strictPeerDependencies が true であるがすべての問題が peerDependencyRules により無視される場合、インストールはエラーで終了すべきではありません #9505。
- npm_config_ の代わりに pnpm_config_ env 変数を使用します #9571。
- pnpm 更新の --lockfile-only フラグが、フラグのない更新とは異なる pnpm-lock.yaml を生成する回帰を修正しますv10.9.0 内。
- pnpm deploy がオーバーライドのある repos で機能するようにします inject-workspace-packages=true #9283。
- URL アドレスの解析によって発生するパス損失の問題を修正しました。
#9502により pnpm v10.11 で出荷される回帰を修正。
- pnpm -r --silent 実行はセクションをプリントアウトすべきではありません #9563。
- 10.11.0 への更新:
* マイナーな変更
- init-type がモジュールの場合、 type=moduleで package.json を作成するために pnpm init に新しい設定が追加されました。init コマンドのフラグとしても機能します #9463。
- Nushell のサポートを pnpm セットアップに追加しました #6476
- pnpm audit コマンドに 2 つの新しいフラグを追加しました --ignore および
--ignore-unfixable #8474。
ソリューションがないすべての脆弱性を無視
> pnpm audit --ignore-unfixable 解決策がある場合でも、特にそれらを無視するために CVE のリストを提供します。
> pnpm audit --ignore=CVE-2021-1234 --ignore=CVE-2021-5678
- ワークスペースの全プロジェクトで再帰的に実行するパックのサポートを追加 #4351
現在は、pnpm -r pack を実行して、ワークスペース内のすべてのパッケージをパックできるようになりました。
* パッチ変更
-危険なAllowAllBuilds が真に設定されている場合、pnpm のバージョン管理が動作するはずです #9472。
- pnpm リンクは、ワークスペース内部から動作するべきです #9506。
- デフォルトの workspaceConcurrency を Math.min(os.availableParallelism(), 4) に設定します #9493。
- strictPeerDependencies が true であるがすべての問題が peerDependencyRules により無視される場合、インストールはエラーで終了すべきではありません #9505。
- pnpm-workspace.yaml から updateConfig を読み取ります #9500。
- 再帰パックのサポートを追加します
- Node.js 24 の警告を修正するために url.parse の使用を削除します #9492。
- pnpm run は、 ignoreScripts が true に設定されている場合、ワークスペース root からコマンドを実行できるはずです #4858。
- 10.10.0 への更新:
* ローカルの pnpmfile から preResolution、importPackage および fetchers フックをロードできるようにします。
* shellEmulator が真の場合、cd コマンドを修正します #7838
* pnpm-workspace.yaml でキーをソートします #9453
* npm_package_json 環境変数を実行するスクリプトに渡します #9452。
* --reporter=silent オプションの説明の誤りを修正しています。
- 10.9.0 への更新:
* マイナーな変更
- JSR パッケージのインストールのサポートを追加。以下の構文を使用して JSR パッケージをインストールできるようになりました。
jsr を追加します<pkg_name> またはバージョン範囲付きです
pnpm add jsr:<pkg_name>@<range> たとえば、次のように実行されています
pnpm add jsr:@foo/bar は package.json に以下のエントリを追加します。
{dependencies: {@foo/bar: jsr:^0.1.2}} 公開するとき、このエントリは npm と互換性のある形式に変換されます。Yarn の古いバージョンは、
注意この説明は、長さの関係上切り捨てられています。詳細については、ベンダーのアドバイザリ を参照してください。
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるpnpm、pnpm-bash-completion、pnpm-fish-completion、pnpm-zsh-completionの各パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 277012
ファイル名: openSUSE-2025-20115-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/12/2
更新日: 2025/12/2
サポートされているセンサー: Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 1.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2021-1234
CVSS v3
リスクファクター: Medium
基本値: 5.3
現状値: 4.6
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:pnpm, cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:pnpm-fish-completion, p-cpe:/a:novell:opensuse:pnpm-zsh-completion, p-cpe:/a:novell:opensuse:pnpm-bash-completion
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/11/27
脆弱性公開日: 2024/11/18
参照情報
CVE: CVE-2021-1234, CVE-2021-5678