Загасны интерактив бүрхүүлийн 3.6.2 хувилбарт зориулсан засвар гарсан бөгөөд энэ нь сул талыг зассан. CVE-2023-49284.
Загасны бүрхүүл нь орлуулагч тэмдэг болон өргөтгөлүүдийг тэмдэглэхийн тулд дотооддоо Юникод тэмдэгтүүдийг ашигладаг. Энэхүү буруу арга нь эдгээр тэмдэгтүүдийг аюулгүй дотоод дүрслэл болгон хөрвүүлэхийн оронд командын орлуулалтын гаралтад унших боломжийг олгосон.
Хэдийгээр энэ нь шууд оролт хийх үед гэнэтийн үйлдэл үүсгэж болзошгүй (жишээ нь echo UFDD2HOME нь echo $HOME-той ижил гаралттай байдаг) гаралт нь гадны программаас тушаал солих горимд тэжээгддэг бол ийм гаралт хүлээгдэж байгаагүй тохиолдолд аюулгүй байдлын бага зэргийн асуудал болж болзошгүй.
Загасны дизайны энэхүү алдаа нь хувилбарын хяналт байхгүй байхаас өмнө загасны хамгийн эртний хувилбаруудад илэрч байсан бөгөөд сүүлийн 15 ба түүнээс дээш жил гарсан загасны хувилбар бүрт өөр өөр тэмдэгтүүдтэй байсан гэж үздэг.
Код гүйцэтгэх боломжгүй, гэхдээ тодорхой нөхцөлд DoS халдлага (том хаалтны өргөтгөлөөр) эсвэл мэдээллийг задлах (жишээ нь, хувьсах өргөтгөлөөр) боломжтой.
3.6.3 хувилбарт зөвхөн туршилтуудыг зассан.
Эх сурвалж: linux.org.ru
