Ua ʻike ʻia kahi vulnerability (CVE-2022-45063) i ka xterm terminal emulator, e hiki ai ke hoʻokō ʻia nā kauoha shell i ka wā e hana ʻia ai kekahi mau kaʻina pakele i ka pahu. No ka hoʻouka ʻana i ka hihia maʻalahi, lawa ia e hōʻike i nā ʻike o kahi faila i hoʻolālā ʻia, no ka laʻana, me ka hoʻohana ʻana i ka pono cat, a i ʻole ka hoʻopili ʻana i kahi laina mai ka clipboard. printf "\e]50;i\$(hoopa'i /tmp/hack-like-its-1999)\a\e]50;?\a" > cve-2022-45063 cat cve-2022-45063
Hoʻokumu ʻia ka pilikia ma muli o ka hewa i ka mālama ʻana i ke code 50 escape sequence i hoʻohana ʻia e hoʻonohonoho a kiʻi hou i nā koho font. Inā ʻaʻole i loaʻa ka font i noi ʻia, e hoʻihoʻi ka hana i ka inoa font i kuhikuhi ʻia ma ke noi. ʻAʻole hiki iā ʻoe ke hoʻokomo pololei i nā huaʻōlelo mana i loko o ka inoa, akā hiki ke hoʻopau ʻia ke kaula i hoʻihoʻi ʻia me ke kaʻina "^G", i ka zsh, i ka wā e hoʻoikaika ʻia ai ke ʻano hoʻoponopono laina vi-style, e hoʻokō ʻia kahi hana hoʻonui papa inoa, hiki ke hana. hoʻohana ʻia e holo i nā kauoha me ke kaomi ʻole ʻana i ke kī Enter.
No ka hoʻohana maikaʻi ʻana i ka nāwaliwali, pono ka mea hoʻohana e hoʻohana i ka Zsh command shell me ka mea hoʻoponopono laina kauoha (vi-cmd-mode) i hoʻonohonoho ʻia i ke ʻano "vi", ʻaʻole i hoʻohana pinepine ʻia e ka paʻamau i ka hāʻawi ʻana. ʻAʻole ʻike ʻia ka pilikia ke hoʻonohonoho ʻia nā hoʻonohonoho xtermWindowOps=false a i ʻole allowFontOps=false. No ka laʻana, allowFontOps=false i hoʻonohonoho ʻia ma OpenBSD, Debian a me RHEL, akā ʻaʻole i hoʻohana ʻia e ka paʻamau ma Arch Linux.
Ma ka hoʻoholoʻana i ka papa inoa o nā hoʻololi a me ka'ōlelo a ka mea noiʻi nāna iʻike i ka pilikia, ua hoʻopaʻaʻia ka pilikino i ka xterm 375 hoʻokuʻu, akā e like me nā kumu'ē aʻe, ke hoʻomau nei ka pilikia i ka xterm 375 mai Arch Linux. Hiki iā ʻoe ke hahai i ka paʻi ʻana o nā hoʻoponopono ma o ka hāʻawi ʻana i kēia mau ʻaoʻao: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD.
Source: opennet.ru