Inilabas na ang isang patch para sa bersyon 3.6.2 ng fish interactive shell, na nag-aayos ng isang kahinaan. CVE-2023-49284.
Gumagamit ang fish shell ng ilang karakter na Unicode sa loob upang markahan ang mga wildcard at expansion. Dahil sa maling pamamaraang ito, nabasa ang mga karakter na ito sa output ng mga command substitution, sa halip na ma-convert sa isang ligtas na panloob na representasyon.
Bagama't maaaring magdulot ito ng hindi inaasahang pag-uugali kapag direktang nag-input (hal. ang echo UFDD2HOME ay may parehong output gaya ng echo $HOME), maaari itong maging isang maliit na isyu sa seguridad kung ang output ay ipinapakain mula sa isang panlabas na programa patungo sa command substitution, kung saan maaaring hindi inaasahan ang naturang output.
Ang depekto sa disenyo na ito ay lumitaw sa mga pinakaunang bersyon ng isda, bago pa man umiral ang version control, at pinaniniwalaang naroroon sa bawat bersyon ng isdang inilabas sa nakalipas na 15 taon o higit pa, bagama't may iba't ibang simbolo.
Hindi posible ang pagpapatupad ng code, ngunit ang isang DoS attack (sa pamamagitan ng malaking pagpapalawak ng bracket) o pagsisiwalat ng impormasyon (hal. sa pamamagitan ng variable expansion) ay posibleng mangyari sa ilalim ng ilang partikular na sitwasyon.
Sa bersyon 3.6.3, mga pagsubok lamang ang naayos.
Pinagmulan: linux.org.ru
