Buvo išleistas korekcinis 3.6.2 „fish“ interaktyvaus komandų apvalkalo leidimas su pažeidžiamumo pataisymu CVE-2023-49284.
Žuvies apvalkalas naudoja kai kuriuos Unicode simbolius, kad viduje būtų pažymėti pakaitos simboliai ir plėtiniai. Šis ydingas metodas leido šiuos simbolius perskaityti komandų pakeitimo išvestyje, o ne konvertuoti į saugų vidinį vaizdą.
Nors tai gali sukelti netikėtą tiesioginės įvesties elgseną (pvz., echo UFDD2HOME turi tokią pat išvestį kaip echo $HOME), tai gali tapti nedidele saugumo problema, jei išvestis iš išorinės programos įvedama į komandų pakeitimą, kai tokios išvesties negalima tikėtis. .
Šis dizaino trūkumas atsirado ankstyviausiose žuvų versijose, prieš pradedant versijų kontrolę, ir manoma, kad ji yra visose žuvų versijose, išleistose per pastaruosius 15 ar daugiau metų, nors ir su skirtingais simboliais.
Kodo vykdymas neįmanomas, tačiau tam tikromis aplinkybėmis galimas DoS ataka (išplečiant daug skliaustų) arba informacijos atskleidimas (pavyzdžiui, išplečiant kintamąjį).
3.6.3 versijoje nustatomi tik testai.
Šaltinis: linux.org.ru
