Kalojen interaktiivisen käyttöliittymän versioon 3.6.2 on julkaistu korjaustiedosto, joka korjaa haavoittuvuuden. CVE-2023-49284.
Kalankuori käyttää sisäisesti joitakin Unicode-merkkejä jokerimerkkien ja laajennusten merkitsemiseen. Tämä virheellinen lähestymistapa mahdollisti näiden merkkien lukemisen komentojen korvausten tulosteesta sen sijaan, että ne olisi muunnettu turvalliseksi sisäiseksi esitystavaksi.
Vaikka tämä voi aiheuttaa odottamatonta toimintaa suoraa syötettä käytettäessä (esim. echo UFDD2HOME:lla on sama tuloste kuin echo $HOME:lla), siitä voi tulla pieni tietoturvaongelma, jos tuloste syötetään ulkoisesta ohjelmasta komentojen korvaamiseen, jossa tällaista tulostetta ei ehkä odoteta.
Tämä suunnitteluvirhe ilmeni kalojen varhaisimmissa versioissa, ennen kuin versionhallintaa oli olemassa, ja sen uskotaan olevan läsnä jokaisessa viimeisten 15 vuoden aikana tai kauemmin julkaistussa kalaversiossa, vaikkakin eri symboleilla.
Koodin suorittaminen ei ole mahdollista, mutta palvelunestohyökkäys (laajennetun rajan kautta) tai tietojen paljastuminen (esim. muuttujan laajennuksen kautta) on mahdollisesti mahdollista tietyissä olosuhteissa.
Versiossa 3.6.3 on korjattu vain testejä.
Lähde: linux.org.ru
