Një patch për versionin 3.6.2 të shell interaktiv të peshkut është publikuar, duke rregulluar një dobësi. CVE-2023-49284.
Guaska e peshkut përdor disa karaktere Unicode në mënyrë të brendshme për të shënuar wildcards dhe zgjerime. Kjo qasje e gabuar lejoi që këto karaktere të lexoheshin në daljen e zëvendësimeve të komandave, në vend që të konvertoheshin në një përfaqësim të brendshëm të sigurt.
Ndërkohë që kjo mund të shkaktojë sjellje të papritura kur futet direkt (p.sh. echo UFDD2HOME ka të njëjtin rezultat si echo $HOME), mund të bëhet një problem i vogël sigurie nëse rezultati ushqehet nga një program i jashtëm në zëvendësimin e komandës, ku një rezultat i tillë mund të mos pritet.
Ky defekt dizajni u shfaq në versionet më të hershme të peshkut, përpara se të ekzistonte kontrolli i versioneve, dhe besohet të jetë i pranishëm në çdo version të peshkut të lëshuar në 15 vitet e fundit ose më shumë, megjithëse me simbole të ndryshme.
Ekzekutimi i kodit nuk është i mundur, por një sulm DoS (nëpërmjet zgjerimit të kllapave të mëdha) ose zbulimi i informacionit (p.sh., nëpërmjet zgjerimit të ndryshoreve) është potencialisht i mundur në rrethana të caktuara.
Në versionin 3.6.3 janë rregulluar vetëm testet.
Burimi: linux.org.ru
