iTerm2 công bố bản cập nhật bảo mật quan trọng

 (iterm2.com)
2 điểm bởi GN⁺ 2025-01-03 | 2 bình luận | Chia sẻ qua WhatsApp
  • Phiên bản 3.5.11 của iTerm2 đã được biên dịch vào ngày 2 tháng 1 năm 2025 và bao gồm bản vá bảo mật quan trọng. Việc cập nhật ngay được khuyến nghị mạnh mẽ.

Người dùng bị ảnh hưởng

  • Nếu bạn đang sử dụng tính năng Tích hợp SSH, các phiên bản sau có thể bị ảnh hưởng:
    • 3.5.6
    • 3.5.7
    • 3.5.8
    • 3.5.9
    • 3.5.10
    • Tất cả bản beta sau 3.5.6

Nguyên nhân

  • Do một lỗi trong tính năng Tích hợp SSH, dữ liệu đầu vào và đầu ra đã bị ghi vào một tệp trên máy chủ từ xa. Tệp này (/tmp/framer.txt) có thể được đọc bởi các người dùng khác trên máy chủ từ xa.

Điều kiện gây sự cố

  1. Khi một trong các trường hợp sau xảy ra:
    • lệnh it2ssh
    • Trong Cài đặt > Hồ sơ > Chung, menu popup Lệnh được đặt thành SSH, và trong hộp thoại cấu hình SSH, ô Tích hợp SSH đã được chọn.
  2. Python 3.7 trở lên được cài đặt trong PATH mặc định trên máy chủ từ xa.

Hành động

  • Nâng cấp lên phiên bản 3.5.11 ngay.
  • Xóa tệp /tmp/framer.txt trên các máy chủ bị ảnh hưởng.

Cách khắc phục

  • Chúng tôi xin thừa nhận nghiêm túc sai sót này và sẽ áp dụng biện pháp để nó không tái diễn.
  • Mã tạo tệp nhật ký trong Tích hợp SSH đã bị gỡ bỏ và sẽ không còn bị công bố nữa.
  • Nếu có câu hỏi, bạn có thể liên hệ qua gnachman@gmail.com.

Xác minh tệp

  • SHA-256 của tệp zip: 655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
  • Bạn có thể xác minh tệp zip bằng cách sử dụng trên https://keybase.io/verify: 
    -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
-----BEGIN PGP SIGNATURE-----
iHUEAREIAB0WIQSAPIQGkYVsjnBRo2J0Et0TaFtKrAUCZ3br8gAKCRB0Et0TaFtK
rLntAQDqPcKkRA23Wo5/XuB2lymF8n+0GK3E+ZT3MYbTNgsnSQD/Xgt7V9QhP42n
QmQpnmb804FrHkCnqIJMvcBAim6AbBM==Zlrw
-----END PGP SIGNATURE-----

Bài viết liên quan

2 bình luận

 
xguru 2025-01-03

Thật bất ngờ khi kiểm tra mới thấy phiên bản của mình là 3.4.3. Gần đây tôi cũng ít dùng terminal nên chẳng để ý gì, vì vậy việc cập nhật cũng không được thực hiện thường xuyên.
 
GN⁺ 2025-01-03
Bình luận Hacker News

  • Rất bối rối trước ý kiến cho rằng nên tránh dùng iTerm2; các dự án khác cũng có thể gặp cùng vấn đề này, nên việc chuyển sang nơi khác không phải là biện pháp bảo vệ hiệu quả

    • Có quan điểm tích cực cho rằng vấn đề bảo mật của iTerm2 có thể giúp nâng cao mức độ an toàn
    • Ứng dụng Terminal của macOS có thể có mức rủi ro thấp hơn iTerm2, nhưng nhược điểm là đây là phần mềm đóng nên không thể tiến hành kiểm toán mã nguồn

  • Có vẻ như việc debug bằng print() đã lọt vào production

  • Một lỗi trong tính năng tích hợp SSH khiến dữ liệu nhập/xuất bị ghi vào tệp trên máy chủ từ xa

    • Tệp này có thể bị người dùng khác đọc được

  • Tôi nghi ngờ lời phát biểu của nhà phát triển rằng họ sẽ ân hận sâu sắc vì sai lầm này và sẽ triển khai biện pháp ngăn tái diễn

    • Kiểm thử toàn bộ tính năng bằng công cụ tự động hóa là việc rất khó thực hiện

  • Vấn đề chỉ liên quan đến tính năng tích hợp SSH; nó không xảy ra khi chỉ chạy lệnh "ssh" thuần túy

  • Tôi băn khoăn liệu có lý do thuyết phục nào để vẫn dùng iTerm2 vào năm 2025 hay không

    • Tôi ngại sử dụng iTerm2 vì các vấn đề bảo mật và quyền riêng tư

  • Tôi cảm thấy iTerm2 ngày càng phức tạp, nặng nề và có nhiều lỗ hổng bảo mật hơn

    • Cảm thấy cần phải tìm kiếm một ứng dụng mô phỏng terminal mới
    • GNU Screen đã dậm chân tại chỗ nên đang định chuyển sang tmux

  • Tôi cho rằng giải pháp đúng đắn hơn là thay khóa SSH, thay vì chỉ xóa tệp /tmp/framer.txt trên máy chủ bị ảnh hưởng

  • Tôi thắc mắc vì sao thật sự cần tích hợp SSH vào terminal

    • Khẳng định rằng không nên dùng vì không an toàn