எக்ஸ்டெர்ம் டெர்மினல் எமுலேட்டரில் ஒரு பாதிப்பு (CVE-2022-45063) கண்டறியப்பட்டுள்ளது, இது டெர்மினலில் சில தப்பிக்கும் காட்சிகள் செயலாக்கப்படும் போது ஷெல் கட்டளைகளை செயல்படுத்த அனுமதிக்கிறது. எளிமையான வழக்கில் தாக்குதலுக்கு, சிறப்பாக வடிவமைக்கப்பட்ட கோப்பின் உள்ளடக்கங்களைக் காண்பிப்பது போதுமானது, எடுத்துக்காட்டாக, பூனை பயன்பாட்டைப் பயன்படுத்தி அல்லது கிளிப்போர்டிலிருந்து ஒரு வரியை ஒட்டவும். printf "\e]50;i\$(touch /tmp/hack-like-its-1999)\a\e]50;?\a" > cve-2022-45063 cat cve-2022-45063
எழுத்துரு விருப்பங்களை அமைக்க அல்லது மீட்டெடுக்க பயன்படுத்தப்படும் குறியீடு 50 எஸ்கேப் சீக்வென்ஸைக் கையாள்வதில் ஏற்பட்ட பிழையால் சிக்கல் ஏற்படுகிறது. கோரப்பட்ட எழுத்துரு இல்லை என்றால், கோரிக்கையில் குறிப்பிடப்பட்டுள்ள எழுத்துரு பெயரை செயல்பாடு வழங்கும். நீங்கள் நேரடியாக பெயரில் கட்டுப்பாட்டு எழுத்துக்களைச் செருக முடியாது, ஆனால் திரும்பிய சரத்தை "^G" என்ற வரிசையுடன் நிறுத்தலாம், இது zsh இல், vi-style line editing mode செயலில் இருக்கும் போது, ஒரு பட்டியல் விரிவாக்க செயல்பாட்டைச் செய்யும். Enter விசையை வெளிப்படையாக அழுத்தாமல் கட்டளைகளை இயக்க பயன்படுகிறது.
பாதிப்பை வெற்றிகரமாகப் பயன்படுத்த, பயனர் Zsh கட்டளை ஷெல்லை கட்டளை வரி எடிட்டருடன் (vi-cmd-mode) “vi” முறையில் அமைக்க வேண்டும், இது பொதுவாக விநியோகங்களில் இயல்பாகப் பயன்படுத்தப்படாது. xterm அமைப்புகள் அனுமதிWindowOps=false அல்லது allowFontOps=false அமைக்கப்படும்போதும் சிக்கல் தோன்றாது. எடுத்துக்காட்டாக, openBSD, Debian மற்றும் RHEL இல் allowFontOps=false அமைக்கப்பட்டுள்ளது, ஆனால் ஆர்ச் லினக்ஸில் இயல்பாகப் பயன்படுத்தப்படாது.
மாற்றங்களின் பட்டியல் மற்றும் சிக்கலைக் கண்டறிந்த ஆய்வாளரின் அறிக்கையின் அடிப்படையில் ஆராயும்போது, xterm 375 வெளியீட்டில் பாதிப்பு சரி செய்யப்பட்டது, ஆனால் மற்ற ஆதாரங்களின்படி, Arch Linux இலிருந்து xterm 375 இல் பாதிப்பு தொடர்ந்து தோன்றும். டெபியன், RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD ஆகிய பக்கங்களில் விநியோகங்கள் மூலம் திருத்தங்களின் வெளியீட்டைக் கண்காணிக்கலாம்.
ஆதாரம்: opennet.ru