Онҳо осебпазириро дар xterm кашф карданд, ки боиси иҷрои код мегардад

Осебпазирӣ

Агар истифода шавад, ин камбудиҳо метавонанд ба ҳамлагарон имкон диҳанд, ки ба маълумоти махфӣ дастрасии беиҷозат пайдо кунанд ё умуман мушкилотро ба вуҷуд оранд.

Чанде пеш ин хабар паҳн шуд осебпазирӣ дар эмулятори терминали xterm пайдо шуд (аллакай дар зери CVE-2022-45063 каталог карда шудааст), мушкилот имкон медиҳад, ки фармонҳои ҷилдиро иҷро кунанд вақте ки пайдарпаии муайяни фирор дар терминал коркард карда мешавад.

Дар бораи проблема кайд карда мешавад он ба хатогӣ дар коркарди рамзи фирор 50 вобаста аст ки барои гузоштан ё гирифтани имконоти шрифт истифода мешавад. Агар ҳуруфи дархостшуда мавҷуд набошад, амалиёт номи ҳуруфи дар дархост зикршударо бармегардонад.

Мушкилот дар пайдарпаии OSC 50 аст, ки конфигуратсия ва пурсиш аст фаввора. Агар манбаи додашуда мавҷуд набошад, он муқаррар карда нашудааст, балки дархост аст номи муқарраршударо бармегардонад. Аломатҳои назоратӣ буда наметавонанд дохил карда шудааст, аммо сатри чавобро бо ^ Г катъ кардан мумкин аст. Шарқ аслан ба мо имкон медиҳад, ки матнро ба терминал баргардонем ва бо ^ Г.

Аломатҳои назоратро мустақиман ворид кардан мумкин нест ба номи, аммо сатри баргардонидашуда метавонад бо пайдарпаии "^G" қатъ карда шавад, ки дар zsh, вақте ки реҷаи таҳрири хати vi-сабки фаъол аст, боиси анҷом додани амалиёти васеъкунии рӯйхат мегардад, ки онро барои иҷро кардани фармонҳо бе пахшкунии возеҳ тугмаи Enter истифода бурдан мумкин аст.

Барои ҳамла дар соддатарин ҳолат, намоиш додани мундариҷаи файли махсус тарҳрезишуда кифоя аст дар экран, масалан, бо истифода аз утилитаи гурба, ё аз буфер хати гузоред.

Debian, Red Hat ва дигарон амалиёти шрифтро ба таври нобаёнӣ ғайрифаъол мекунанд , аммо корбарон метавонанд онҳоро дубора фаъол созанд тавассути интихоб ё менюи конфигуратсия. Инчунин, xterm болообро мекунад онҳоро бо нобаёнӣ ғайрифаъол намекунад, бинобар ин баъзе тақсимотҳо а танзимоти пешфарз осебпазир.

Барои бомуваффақият истифода бурдани осебпазирӣ, корбар бояд қабати Zsh -ро бо муҳаррири сатри фармон (vi-cmd-mode) ба ҳолати "vi" иваз кунад, ки одатан дар тақсимот бо нобаёнӣ истифода намешавад.

Асосан, ба мо лозим аст:
зш
ҳолати таҳрири хати фаъол дар сабки vi
матни троянро ба буфер нусхабардорӣ кунед
онро дар zsh часбонед

Ин метавонад ба таври худкор анҷом дода шавад, бисёр сайтҳо матнро ҳангоми нусхабардорӣ ба буфер тағир медиҳанд. Ҳамин тавр, ман танҳо буфери интихобро истифода мебарам, ки браузерҳо ба он дастрасӣ надоранд. Танҳо дар gtk3 ва махсусан дар ff онҳо бо ягон сабаб пайваста мешиканад, ин хаста мешавад.

Мушкилот инчунин ҳангоми танзими xterm пайдо намешавад allowWindowOps=false ё allowFontOps=false. Масалан, танзимот allowFontOps=false он дар OpenBSD, Debian ва RHEL насб шудааст, аммо ба таври нобаёнӣ дар Arch Linux татбиқ карда намешавад.

Дар асоси тағирот ва изҳороти муҳаққиқе, ки ин масъаларо муайян кардааст, осебпазирӣ дар версияи xterm 375 собит шудааст, аммо тибқи сарчашмаҳои дигар, осебпазирӣ дар xterm 375-и Arch Linux зоҳир мешавад.

Ин маънои онро дорад, ки барои истифода аз ин осебпазирӣ, корбар бояд
бо истифода аз Zsh дар ҳолати таҳрири хати vi (одатан тавассути $EDITOR, ки дар он "vi" дорад
он). Гарчанде ки то андозае норавшан бошад ҳам, ин тамоман шунида нашудааст.
конфигуратсия

Дар ин конфигуратсия чизе монанди:
printf "\e]50;i\$( ламс /tmp/hack-like-its-1999)\a\e]50;?\a" > cve-2022-45063
cat cve-2022-45063 # ё роҳи дигари расонидани ин ба ҷабрдида

Ниҳоят, чун ҳамеша, ба корбарони системаҳои зарардида тавсия дода мешавад, ки системаҳои худро навсозӣ кунанд, зеро онҳо хоҳанд донист, ки осебпазирии амниятӣ кай маълум мешавад, таҳиягарон бояд ин камбудиҳоро ислоҳ кунанд, зеро бисёре аз ин камбудиҳо чӣ гуна истифода мешаванд, ошкор карда мешаванд.

Бояд гуфт, ки ин амалиёти шрифт дар танзимоти пешфарз иҷозат дода намешавад xterm аз баъзе тақсимоти Linux, бинобар ин на ҳама тақсимотҳо ба ин хатогӣ дучор мешаванд. Барои онҳое, ки мехоҳанд нашри ислоҳҳоро аз рӯи тақсимот пайгирӣ кунанд, онҳо метавонанд ин корро дар ин саҳифаҳо анҷом диҳанд: DebianRHELФедораСусусUbuntuКоғази LinuxOpenBSDFreeBSDNetBSD.

Агар шумо манфиатдор ба донистани бештар дар бораи он, шумо метавонед тафсилотро тафтиш кунед Дар истиноди зерин.


Мазмуни мақола ба принсипҳои мо риоя мекунад ахлоқи таҳрирӣ. Барои гузориш додани хато клик кунед ин ҷо.

Аваллин эзоҳро диҳед

Назари худро бинависед

Суроғаи почтаи электронии шумо нест, нашр карда мешавад. Майдонҳои талаб карда мешавад, бо ишора *

*

*

  1. Масъул барои маълумот: Мигел Анхел Гатан
  2. Мақсади маълумот: Назорати СПАМ, идоракунии шарҳҳо.
  3. Қонунӣ: Розигии шумо
  4. Иртиботи маълумот: Маълумот ба шахсони сеюм расонида намешавад, ба истиснои ӯҳдадориҳои қонунӣ.
  5. Нигоҳдории маълумот: Пойгоҳи додаҳо аз ҷониби Occentus Networks (ИА) ҷойгир карда шудааст
  6. Ҳуқуқҳо: Ҳар лаҳза шумо метавонед маълумоти худро маҳдуд, барқарор ва нест кунед.