Թողարկվել է ինտերակտիվ հրամանի խեցի ձկան 3.6.2-ի ուղղիչ թողարկումը, որը շտկում է խոցելիությունը CVE-2023-49284- ը.
Ձկան կեղևն օգտագործում է Յունիկոդի որոշ նիշեր՝ ներքևում նշելու նիշերը և ընդարձակումները: Այս սխալ մոտեցումը թույլ տվեց այս նիշերը կարդալ հրամանի փոխարինման ելքում՝ փոխակերպվելու անվտանգ ներքին ներկայացման փոխարեն:
Թեև սա կարող է առաջացնել անսպասելի վարքագիծ, երբ ուղղակի մուտքագրումը (օրինակ՝ echo UFDD2HOME-ն ունի նույն ելքը, ինչ $HOME-ն), այն կարող է դառնալ անվտանգության աննշան խնդիր, եթե ելքը արտաքին ծրագրից սնվում է հրամանի փոխարինման, որտեղ այդպիսի ելք չի սպասվում:
Դիզայնի այս թերությունն ի հայտ է եկել ձկների ամենավաղ տարբերակներում՝ նախքան տարբերակի հսկողության գոյությունը, և ենթադրվում է, որ առկա է վերջին 15 կամ ավելի տարիների ընթացքում թողարկված ձկների յուրաքանչյուր տարբերակում, թեև տարբեր նշաններով:
Կոդի կատարումը հնարավոր չէ, սակայն որոշակի հանգամանքներում հնարավոր է DoS հարձակում (մեծ փակագծերի ընդլայնման միջոցով) կամ տեղեկատվության բացահայտում (օրինակ՝ փոփոխականների ընդլայնման միջոցով):
3.6.3 տարբերակում ամրագրվել են միայն թեստերը:
Source: linux.org.ru
