iTerm2 ने एक महत्वपूर्ण सुरक्षा अपडेट जारी किया

 (iterm2.com)
2 पॉइंट द्वारा GN⁺ 2025-01-03 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • iTerm2 version 3.5.11 का निर्माण 2 जनवरी, 2025 को किया गया है और इसमें एक महत्वपूर्ण सुरक्षा सुधार शामिल है। तुरंत अपडेट करने की कड़ी सलाह दी जाती है।

प्रभावित उपयोगकर्ता

  • यदि आपने SSH इंटीग्रेशन फीचर का उपयोग किया है, तो निम्नलिखित संस्करण प्रभावित हो सकते हैं:
    • 3.5.6
    • 3.5.7
    • 3.5.8
    • 3.5.9
    • 3.5.10
    • 3.5.6 के बाद के सभी beta संस्करण

समस्या का कारण

  • SSH इंटीग्रेशन फीचर के एक बग के कारण इनपुट और आउटपुट रिमोट होस्ट की फ़ाइल में लिखे गए। यह फ़ाइल (/tmp/framer.txt) रिमोट होस्ट के अन्य उपयोगकर्ताओं द्वारा पढ़ी जा सकती है।

समस्या कब होती है

  1. यदि इनमें से कोई स्थिति हो:
    • it2ssh command
    • Settings > Profiles > General में command pop-up menu को "SSH" पर सेट किया गया हो और SSH configuration dialog में "SSH इंटीग्रेशन" चुना (check) गया हो
  2. यदि रिमोट होस्ट पर Python 3.7 या उससे ऊपर का संस्करण default search path में मौजूद हो

कार्रवाई

  • तुरंत version 3.5.11 पर अपग्रेड करें।
  • प्रभावित होस्ट पर /tmp/framer.txt फ़ाइल हटाएँ।

समस्या का समाधान

  • इस गलती पर खेद व्यक्त करते हैं और सुनिश्चित करेंगे कि यह दोबारा न हो।
  • SSH इंटीग्रेशन से लॉग फ़ाइल लिखने वाला कोड हटा दिया गया है और इसे सार्वजनिक नहीं किया जाएगा।
  • किसी भी प्रश्न के लिए gnachman@gmail.com पर संपर्क करें।

फ़ाइल सत्यापन

  • zip फ़ाइल की SHA-256: 655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
  • https://keybase.io/verify पर नीचे दिए लिंक का उपयोग करके zip फ़ाइल सत्यापित की जा सकती है: 
    -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
-----BEGIN PGP SIGNATURE-----
iHUEAREIAB0WIQSAPIQGkYVsjnBRo2J0Et0TaFtKrAUCZ3br8gAKCRB0Et0TaFtK
rLntAQDqPcKkRA23Wo5/XuB2lymF8n+0GK3E+ZT3MYbTNgsnSQD/Xgt7V9QhP42n
QmQpnmb804FrHkCnqIJMvcBAim6AbBM==Zlrw
-----END PGP SIGNATURE-----

संबंधित पढ़ाई

2 टिप्पणियां

 
xguru 2025-01-03

अरे, अभी चेक किया तो मेरा संस्करण 3.4.3 ही है। पिछले कुछ दिन से मैं टर्मिनल ठीक से इस्तेमाल नहीं कर रहा था, इसलिए ध्यान भी नहीं दिया और अपडेट भी शायद सही से नहीं हो पाए।
 
GN⁺ 2025-01-03
Hacker News टिप्पणी
  • iTerm2 का उपयोग न करने की सलाह को लेकर उलझन है; ऐसे ही मुद्दे अन्य प्रोजेक्ट्स में भी हो सकते हैं, और सिर्फ़ स्विच करना कोई प्रभावी सुरक्षा बचाव नहीं है।
    • iTerm2 की सुरक्षा समस्या को यह सकारात्मक नज़रिए से भी देखा जा सकता है कि इससे सुरक्षा posture बेहतर हो सकता है।
    • MacOS Terminal ऐप शायद iTerm2 से कम जोखिम वाला हो, लेकिन यह बंद-स्रोत सॉफ़्टवेयर होने के कारण ऑडिट नहीं किया जा सकता।
  • ऐसा लगता है कि print() डिबगिंग production में चली गई।
  • SSH integration में बग के कारण इनपुट और आउटपुट remote host की फाइल में लिखे गए।
    • संभव है कि अन्य उपयोगकर्ता भी उस फाइल को पढ़ सकें।
  • डेवलपर के इस बयान पर शक है कि वे गलती पर गहरा खेद व्यक्त करके दोबारा न होने के लिए कदम उठाएँगे।
    • हर फीचर को पूरी तरह automated tools से टेस्ट करना बहुत कठिन होता है।
  • समस्या सिर्फ़ SSH integration फीचर तक सीमित है, सादा ssh रन करने पर यह नहीं होता।
  • सवाल है कि 2025 में iTerm2 को इस्तेमाल करने का कोई मजबूत कारण बचा है?
    • सुरक्षा और प्राइवेसी मुद्दों के कारण iTerm2 इस्तेमाल करने में हिचकिचाहट है।
  • लगता है iTerm2 हर तरफ से भारी और जटिल होता जा रहा है और इसके सुरक्षा मुद्दे बढ़ रहे हैं।
    • नया terminal emulator खोजने की जरूरत महसूस होती है।
    • GNU Screen ठहर गया है, इसलिए tmux पर जाने की योजना है।
  • प्रभावित host से /tmp/framer.txt हटाने की तुलना में SSH key बदलना ज्यादा बेहतर समाधान लगता है।
  • ये समझ नहीं आता कि terminal में SSH integration की जरूरत क्या है।
    • इसे उपयोग नहीं करना चाहिए क्योंकि यह सुरक्षित नहीं है।
  • SSH integration बग के कारण remote host पर फाइल लिखे जाने के मुद्दे में दिलचस्पी।
    • "framer" का क्या मतलब है, यह समझ नहीं आ रहा।