Lagu ogaaday nuglaanshaha xterm taasoo horseedaysa fulinta kood

Darkcrizt

Daqiiqado 4

Nuglaanta

Haddii laga faa'iidaysto, cilladahan waxay u oggolaan karaan weeraryahannada inay helaan macluumaad xasaasi ah oo aan la fasixin ama guud ahaan dhibaatooyi karaan

Dhawaan warku wuxuu faafiyay taas nuglaansho ayaa laga helay kombaytarka terminaalka xterm (oo horeba loogu qoray CVE-2022-45063), dhibaatada ogolaanaya fulinta amarada qolof marka qaar ka mid ah taxanaha baxsadka lagu farsameeyo terminalka.

Ku saabsan dhibaatada waxaa lagu sheegay in waxaa sabab u ah qalad ku yimid habaynta code-ka baxsadka 50 Kaas oo loo isticmaalo in lagu dejiyo ama lagu helo xulashooyinka font. Haddii farta la codsaday aysan jirin, hawlgalku wuxuu soo celinayaa magaca farta lagu sheegay codsiga.

Dhibaatadu waxay ku jirtaa taxanaha OSC 50, kaas oo loogu talagalay habaynta iyo la-talinta isha. Haddii il la bixiyay aanu jirin, lama dejiyo, laakiin waa su'aal soo celin doona magacii la dhigay. Jilayaasha xakamaynta ma noqon karaan ku jira, laakiin xadhigga jawaabta waxaa lagu joojin karaa ^G. Bari Asal ahaan waxa ay ina siinaysaa horudhac si aan qoraalka ugu soo celino terminalka oo ku dhamaanaya ^G.

Xarfaha xakamaynta si toos ah looma gelin karo magaca, laakiin xadhigga la soo celiyay waxaa lagu joojin karaa isku xigxiga "^G", kaas oo ku jira zsh, marka habka tafatirka khadka vi-style uu firfircoon yahay, wuxuu keenaa qalliin liis-ballaadhin ah in la sameeyo, kaas oo loo isticmaali karo in lagu fuliyo amarrada iyada oo aan si cad loo cadaadin furaha gelida.

Weerar kiiskii ugu fududaa, waa ku filan tahay in la muujiyo nuxurka faylka gaarka ah ee loo qaabeeyey shaashadda, tusaale ahaan, adigoo isticmaalaya utility bisadaha, ama ku dhejinta xariiqda sabuuradda.

Debian, Koofiyada Cas iyo kuwa kaleba waxay joojiyeen hawlgallada font si caadi ah , laakiin isticmaalayaashu dib ayey u awoodsiin karaan iyada oo loo marayo ikhtiyaarka ama qaabeynta. Sidoo kale, kor u kaca xterm ayaa sameeya ma baabi'iyo iyaga si caadi ah, sidaas darteed qaybinta qaar waxaa ka mid ah a Qaabeynta caadiga ah ee nugul.

Si aad si guul leh uga faa'iidaysato dayacanka, adeegsaduhu waa inuu isticmaalo qolofka Zsh oo leh tifaftiraha khadka taliska (vi-cmd-mode) oo loo beddelay qaabka "vi"., kaas oo aan guud ahaan si caadi ah loo isticmaalin qaybinta.

Asal ahaan, waxaan u baahanahay:
zsh
Habka wax ka beddelka khadka firfircoon ee qaabka vi
ku koobbi qoraalka trojanka sabuuradda
ku dheji zsh

Tan si toos ah ayaa loo samayn karaa, goobo badan ayaa wax ka beddela qoraalka marka lagu koobiyeeyo sabuuradda. Markaa waxaan kaliya isticmaalaa kaydiyaha xulashada, kaas oo aanu geli karin daalacashada. Kaliya gtk3 iyo gaar ahaan ff gaar ahaan waxay si joogto ah u jebiyaan sabab qaar ka mid ah, waa daal.

Dhibaatadu sidoo kale ma muuqato marka xterm la dejiyay allowWindowOps=been ama allowFontOps=been. Tusaale ahaan, qaabeynta allowFontOps=been waxaa lagu dejiyay OpenBSD, Debian, iyo RHEL, laakiin si caadi ah uma dhaqan gelin Arch Linux.

Iyada oo ku saleysan isbeddelka iyo bayaanka ka soo baxay cilmi-baadhaha aqoonsaday arrinta, baylahda ku go'an nooca xterm 375, laakiin sida laga soo xigtay ilo kale, baylahdu waxay ku sii socotaa inay isku muujiso Arch Linux's xterm 375.

Tani waxay ka dhigan tahay in si looga faa'iidaysto nuglaantan, isticmaaluhu waa inuu noqdaa
iyadoo la isticmaalayo Zsh in vi line hab tafatirka (badanaa iyada oo loo sii marayo $ EDITOR oo leh "vi" gudaha
waa). In kasta oo ay waxoogaa mugdi ah, tani gabi ahaanba ma aha mid aan la maqlin.
qaabeynta

Habayntaas, wax sida:
printf "\e]50;i\$(taabo /tmp/hack-like-its-1999)\a\e]50;?\a" > cve-2022-45063
cat cve-2022-45063 # ama hab kale oo tan dhibbanaha loogu geynayo

Ugu dambeyntii, sida had iyo jeer, isticmaalayaasha nidaamyada ay saameeyeen waxaa lagula talinayaa in ay cusbooneysiiyaan nidaamkooda, sababtoo ah sida aad ogaan doonto marka la ogaanayo dayacanka amniga, horumariyayaashu waa inay hagaajiyaan dhiqlahan, sababtoo ah inta badan sida cayayaankan looga faa'iidaysan karo ayaa la shaaciyaa.

Waxaa xusid mudan taas Hawlgallada font looma oggola goobaha caadiga ah ee xterm ee qaybinta Linux qaarkood, marka dhammaan qaybintu uma nugul yihiin cayayaankan. Kuwa danaynaya inay raacaan daabacaadda sixitaannada ee qaybinta, waxay ku samayn karaan boggagan: DebianRHELFedoraSUSEUbuntuArch LinuxOpenBSDFreeBSDNetBSD.

Naps xiiseynaya in aan wax badan ka ogaado, waad hubin kartaa faahfaahinta Xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.