Ailagbara kan (CVE-2022-45063) ti jẹ idanimọ ninu emulator ebute xterm, eyiti o fun laaye ipaniyan ti awọn aṣẹ ikarahun nigbati awọn ilana abayọ kan ti ni ilọsiwaju ni ebute naa. Fun ikọlu ninu ọran ti o rọrun julọ, o to lati ṣafihan awọn akoonu ti faili apẹrẹ pataki kan, fun apẹẹrẹ, lilo ohun elo ologbo, tabi lẹẹmọ laini kan lati agekuru agekuru. printf "\e]50;i \$(ifọwọkan /tmp/hack-like-its-1999)\a\e]50;?\a" > cve-2022-45063 ologbo cve-2022-45063
Iṣoro naa ṣẹlẹ nipasẹ aṣiṣe ni mimu koodu ona abayo 50 ti a lo lati ṣeto tabi gba awọn aṣayan fonti pada. Ti fonti ti a beere ko ba si, iṣiṣẹ naa da orukọ fonti ti o pato ninu ibeere naa pada. O ko le fi awọn ohun kikọ iṣakoso sii taara sinu orukọ, ṣugbọn okun ti o pada le fopin si pẹlu ọkọọkan “^ G”, eyiti o wa ni zsh, nigbati ipo ṣiṣatunṣe ila-ara ti ṣiṣẹ, fa iṣẹ imugboroja atokọ lati ṣe, eyiti o le ṣe. ṣee lo lati ṣiṣe awọn aṣẹ laisi titẹ bọtini Tẹ ni gbangba.
Lati lo ailagbara ni aṣeyọri, olumulo gbọdọ lo ikarahun aṣẹ Zsh pẹlu olootu laini aṣẹ (vi-cmd-mode) ti a ṣeto si ipo “vi”, eyiti kii ṣe nigbagbogbo lo nipasẹ aiyipada ni awọn pinpin. Iṣoro naa ko tun han nigbati awọn eto xterm gba WindowOps=eke tabi allowFontOps=eke ti ṣeto. Fun apẹẹrẹ, allowFontOps=eke ti ṣeto ni OpenBSD, Debian ati RHEL, ṣugbọn kii ṣe lilo nipasẹ aiyipada ni Arch Linux.
Ti o ṣe idajọ nipasẹ akojọ awọn iyipada ati alaye ti oluwadi ti o ṣe idanimọ iṣoro naa, ailagbara ti wa ni ipilẹ ni xterm 375 itusilẹ, ṣugbọn gẹgẹbi awọn orisun miiran, ipalara naa tẹsiwaju lati han ni xterm 375 lati Arch Linux. O le tọpa atẹjade awọn atunṣe nipasẹ awọn pinpin lori awọn oju-iwe wọnyi: Debian, RHEL, Fedora, SUSE, Ubuntu, Arch Linux, OpenBSD, FreeBSD, NetBSD.
orisun: opennet.ru