குறியீடு செயல்படுத்தப்படுவதற்கு வழிவகுக்கும் xterm இல் ஒரு பாதிப்பு கண்டறியப்பட்டது

Darkcrizt

4 நிமிடங்கள்

பாதிப்பு

சுரண்டப்பட்டால், இந்த குறைபாடுகள் தாக்குபவர்கள் முக்கியமான தகவல்களுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெற அனுமதிக்கலாம் அல்லது பொதுவாக சிக்கல்களை ஏற்படுத்தும்

சமீபத்தில் செய்தி அதை உடைத்தது எக்ஸ்டெர்ம் டெர்மினல் எமுலேட்டரில் ஒரு பாதிப்பு கண்டறியப்பட்டது (ஏற்கனவே CVE-2022-45063 இன் கீழ் பட்டியலிடப்பட்டுள்ளது), சிக்கல் ஷெல் கட்டளைகளை செயல்படுத்த அனுமதிக்கிறது டெர்மினலில் சில தப்பிக்கும் காட்சிகள் செயலாக்கப்படும் போது.

பிரச்சனை பற்றி அதில் குறிப்பிடப்பட்டுள்ளது எஸ்கேப் குறியீடு 50ஐச் செயலாக்குவதில் ஏற்பட்ட பிழை காரணமாகும் எழுத்துரு விருப்பங்களை அமைக்க அல்லது பெற பயன்படுகிறது. கோரப்பட்ட எழுத்துரு இல்லை என்றால், கோரிக்கையில் குறிப்பிடப்பட்டுள்ள எழுத்துருவின் பெயரை செயல்பாடு வழங்கும்.

பிரச்சனை OSC 50 வரிசையில் உள்ளது, இது கட்டமைத்தல் மற்றும் ஆலோசனைக்கானது நீரூற்று. கொடுக்கப்பட்ட ஆதாரம் இல்லை என்றால், அது அமைக்கப்படவில்லை, ஆனால் ஒரு வினவல் அமைக்கப்பட்ட பெயரைத் திருப்பித் தரும். கட்டுப்பாட்டு எழுத்துக்கள் இருக்க முடியாது சேர்க்கப்பட்டுள்ளது, ஆனால் மறுமொழி சரத்தை ^G உடன் நிறுத்தலாம். கிழக்கு டெர்மினலுக்கு உரையைத் திரும்பப் பெறுவதற்கு அடிப்படையாக ஒரு பழமையானது மற்றும் ^G உடன் முடிவடைகிறது.

கட்டுப்பாட்டு எழுத்துகளை நேரடியாகச் செருக முடியாது பெயரில், ஆனால் திரும்பிய சரத்தை "^G" வரிசையுடன் நிறுத்தலாம், zsh இல், vi-style line editing mode செயலில் இருக்கும் போது, ​​ஒரு பட்டியல்-விரிவாக்க செயல்பாட்டைச் செய்கிறது, இது என்டர் விசையை வெளிப்படையாக அழுத்தாமல் கட்டளைகளை இயக்கப் பயன்படும்.

எளிமையான வழக்கில் தாக்குதலுக்கு, சிறப்பாக வடிவமைக்கப்பட்ட கோப்பின் உள்ளடக்கத்தைக் காட்டினால் போதும் திரையில், எடுத்துக்காட்டாக, பூனை பயன்பாட்டைப் பயன்படுத்துதல் அல்லது கிளிப்போர்டில் இருந்து ஒரு வரியை ஒட்டுதல்.

Debian, Red Hat மற்றும் பிற இயல்புநிலையாக எழுத்துரு செயல்பாடுகளை முடக்குகின்றன , ஆனால் பயனர்கள் அவற்றை மீண்டும் இயக்க முடியும் ஒரு விருப்பம் அல்லது கட்டமைப்பு மெனு மூலம். மேலும், அப்ஸ்ட்ரீம் xterm செய்கிறது முன்னிருப்பாக அவற்றை முடக்காது, எனவே சில விநியோகங்களில் ஒரு அடங்கும் பாதிக்கப்படக்கூடிய இயல்புநிலை உள்ளமைவு.

பாதிப்பை வெற்றிகரமாகப் பயன்படுத்த, "vi" பயன்முறைக்கு மாற்றப்பட்ட கட்டளை வரி எடிட்டருடன் (vi-cmd-mode) பயனர் Zsh ஷெல்லைப் பயன்படுத்த வேண்டும்., இது பொதுவாக விநியோகங்களில் இயல்பாகப் பயன்படுத்தப்படுவதில்லை.

அடிப்படையில், நமக்குத் தேவை:
zsh
vi பாணியில் செயலில் உள்ள வரி திருத்த முறை
ட்ரோஜனின் உரையை கிளிப்போர்டுக்கு நகலெடுக்கவும்
அதை zsh இல் ஒட்டவும்

இது தானாகவே செய்யப்படலாம், பல தளங்கள் உரையை கிளிப்போர்டுக்கு நகலெடுக்கும் போது மாற்றியமைக்கின்றன. எனவே நான் தேர்வு இடையகத்தை மட்டுமே பயன்படுத்துகிறேன், இது உலாவிகளால் அணுகப்படவில்லை. குறிப்பாக gtk3 மற்றும் ff இல் மட்டும் சில காரணங்களால் அவை தொடர்ந்து உடைந்து விடுகிறது, அது சோர்வாக இருக்கிறது.

xterm அமைக்கப்படும்போதும் பிரச்சனை தோன்றாது allowWindowOps=false அல்லது allowFontOps=false. உதாரணமாக, கட்டமைப்பு allowFontOps=false இது OpenBSD, Debian மற்றும் RHEL இல் அமைக்கப்பட்டுள்ளது, ஆனால் ஆர்ச் லினக்ஸில் இயல்பாக செயல்படுத்தப்படவில்லை.

மாற்றப் பதிவு மற்றும் சிக்கலைக் கண்டறிந்த ஆய்வாளரின் அறிக்கையின் படி, பாதிப்பு xterm 375 பதிப்பில் சரி செய்யப்பட்டது, ஆனால் மற்ற ஆதாரங்களின்படி, ஆர்ச் லினக்ஸின் xterm 375 இல் பாதிப்பு தொடர்ந்து வெளிப்படுகிறது.

இதன் பொருள், இந்த பாதிப்பைப் பயன்படுத்த, பயனர் இருக்க வேண்டும்
Vi line எடிட்டிங் பயன்முறையில் Zsh ஐப் பயன்படுத்துகிறது (வழக்கமாக $EDITOR வழியாக "vi" உள்ளது
அதன்). ஓரளவு தெளிவற்றதாக இருந்தாலும், இது முற்றிலும் கேள்விப்படாதது அல்ல.
கட்டமைப்பு.

அந்த அமைப்பில், இது போன்ற ஒன்று:
printf "\e]50;i\$(touch /tmp/hack-like-its-1999)\a\e]50;?\a" > cve-2022-45063
cat cve-2022-45063 # அல்லது இதை பாதிக்கப்பட்டவருக்கு வழங்க வேறு வழி

இறுதியாக, எப்பொழுதும் போல, பாதிக்கப்பட்ட அமைப்புகளின் பயனர்கள் தங்கள் கணினிகளை புதுப்பித்த நிலையில் வைத்திருக்க பரிந்துரைக்கப்படுகிறார்கள், ஏனெனில் பாதுகாப்பு பாதிப்புகள் அறியப்படும் போது, ​​டெவலப்பர்கள் இந்த பிழைகளை சரிசெய்ய வேண்டும், ஏனெனில் இந்த பிழைகள் எவ்வாறு பயன்படுத்தப்படலாம் என்பது வெளிப்படுத்தப்படுகிறது.

அதைக் குறிப்பிடுவது மதிப்பு இன் இயல்புநிலை அமைப்புகளில் எழுத்துரு செயல்பாடுகள் அனுமதிக்கப்படாது xterm இன் சில லினக்ஸ் விநியோகங்கள், எனவே அனைத்து விநியோகங்களும் இந்த பிழைக்கு ஆளாகாது. விநியோகங்கள் மூலம் திருத்தங்களை வெளியிடுவதில் ஆர்வமுள்ளவர்கள், இந்தப் பக்கங்களில் அவ்வாறு செய்யலாம்: டெபியன்RHELஃபெடோராSUSEஉபுண்டுஆர்க் லினக்ஸ்ஓப்பன்ஃப்ரீNetBSD இல்.

நீங்கள் இருந்தால் அதைப் பற்றி மேலும் அறிய ஆர்வமாக உள்ளது, நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பில்.


உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.