xterm ටර්මිනල් ඉමුලේටරය තුළ අවදානමක් (CVE-2022-45063) හඳුනාගෙන ඇති අතර, පර්යන්තය තුළ යම් ගැලවීමේ අනුපිළිවෙලක් සැකසෙන විට ෂෙල් විධාන ක්රියාත්මක කිරීමට ඉඩ සලසයි. සරලම අවස්ථාවක ප්රහාරයක් සඳහා, විශේෂයෙන් නිර්මාණය කරන ලද ගොනුවක අන්තර්ගතය ප්රදර්ශනය කිරීම ප්රමාණවත් වේ, උදාහරණයක් ලෙස, cat utility භාවිතා කිරීම හෝ ක්ලිප්බෝඩ් එකෙන් රේඛාවක් ඇලවීම. printf "\e]50;i\$(touch /tmp/hack-like-its-1999)\a\e]50;?\a" > cve-2022-45063 cat cve-2022-45063
අකුරු විකල්ප සැකසීමට හෝ ලබා ගැනීමට භාවිතා කරන කේත 50 ගැලවීමේ අනුපිළිවෙල හැසිරවීමේ දෝෂයක් නිසා මෙම ගැටළුව ඇතිවේ. ඉල්ලන ලද අකුරු නොපවතියි නම්, මෙහෙයුම ඉල්ලීමෙහි සඳහන් කර ඇති අකුරු නාමය නැවත ලබා දෙයි. ඔබට සෘජුවම පාලන අක්ෂර නමට ඇතුළු කළ නොහැක, නමුත් ආපසු ලැබෙන තන්තුව "^G" අනුපිළිවෙලින් අවසන් කළ හැක, එය zsh හි vi-style line editing mode සක්රිය වූ විට, ලැයිස්තු ප්රසාරණ මෙහෙයුමක් සිදු කිරීමට හේතු වේ. Enter යතුර පැහැදිලිව එබීමෙන් තොරව විධාන ක්රියාත්මක කිරීමට භාවිතා කරයි.
අවදානම සාර්ථකව ප්රයෝජනයට ගැනීම සඳහා, පරිශීලකයා "vi" මාදිලියට (vi-cmd-mode) විධාන රේඛා සංස්කාරකය සකසා ඇති Zsh කවචය භාවිතා කළ යුතු අතර, එය සාමාන්යයෙන් බෙදාහැරීම් වලදී පෙරනිමියෙන් භාවිතා නොවේ. xterm හි allowWindowOps=false හෝ allowFontOps=false සැකසීමේදීද ගැටළුව ඇති නොවේ. උදාහරණයක් ලෙස, OpenBSD හි allowFontOps=false සකසා ඇත. Debian සහ RHEL, නමුත් Arch හි පෙරනිමියෙන් භාවිතා නොවේ Linux.
චේන්ජ්ලොග් සහ ගැටලුව සොයාගත් පර්යේෂකයාගේ ප්රකාශයට අනුව, xterm 375 හි අවදානම නිවැරදි කර ඇත, නමුත් අනෙකුත් තොරතුරුවලින් පෙනී යන්නේ ආර්ච් වෙතින් xterm 375 හි අවදානම දිගටම දිස්වන බවයි. Linuxඔබට මෙම පිටු වල බෙදාහැරීම් මගින් පැච් නිකුත් කිරීම නිරීක්ෂණය කළ හැක: Debian, RHEL, ෆෙඩෝරා, SUSE, Ubuntu, ආරුක්කුව Linux, OpenBSD, FreeBSD, NetBSD.
මූලාශ්රය: opennet.ru
