iTerm2, kritik bir güvenlik güncellemesini duyurdu

 (iterm2.com)
2 puan yazan GN⁺ 2025-01-03 | 2 yorum | WhatsApp'ta paylaş
  • iTerm2 3.5.11 sürümü, 2 Ocak 2025 tarihinde derlenmiş olup önemli bir güvenlik düzeltmesi içeriyor. Hemen güncellemeniz şiddetle önerilir.

Etkilenen sürümler

  • SSH entegrasyonunu kullananların, aşağıdaki sürümlerde etkilenmiş olabileceği tespit edildi:
    • 3.5.6
    • 3.5.7
    • 3.5.8
    • 3.5.9
    • 3.5.10
    • 3.5.6'dan sonraki tüm beta sürümleri

Sorunun nedeni

  • SSH entegrasyonu özelliğindeki bir hata nedeniyle, girdi ve çıktı uzak sunucudaki bir dosyaya yazılıyordu. Bu dosya (/tmp/framer.txt), uzak sunucuda başka kullanıcılar tarafından okunabiliyordu.

Sorunun ortaya çıkma koşulları

  1. Aşağıdakilerden biri kullanıldıysa:
    • it2ssh komutu
    • Ayarlar > Profil > Genel altında komut açılır menüsü "SSH" olarak ayarlanmış ve SSH yapılandırma penceresinde "SSH Entegrasyonu" işaretlenmişse
  2. Uzak sunucuda Python 3.7 veya üstü sürümün, varsayılan arama yolunda yüklü olması

Alınması gereken önlemler

  • Sürüm 3.5.11'e hemen yükseltin.
  • Etkilenen sunucularda /tmp/framer.txt dosyasını silin.

Sorunun çözümü

  • Bu hatayı ciddiyetle gözden geçiriyor ve bir daha tekrarlanmaması için gerekli önlemleri alıyoruz.
  • SSH entegrasyonunda günlüğü (log) yazan kod kaldırıldı ve artık yayımlanmayacaktır.
  • Sorular için gnachman@gmail.com adresinden iletişime geçilebilir.

Dosya doğrulama

  • ZIP dosyasının SHA-256 özeti: 655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
  • https://keybase.io/verify adresinde aşağıdakileri kullanarak zip dosyasını doğrulayabilirsiniz: 
    -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
-----BEGIN PGP SIGNATURE-----
iHUEAREIAB0WIQSAPIQGkYVsjnBRo2J0Et0TaFtKrAUCZ3br8gAKCRB0Et0TaFtK
rLntAQDqPcKkRA23Wo5/XuB2lymF8n+0GK3E+ZT3MYbTNgsnSQD/Xgt7V9QhP42n
QmQpnmb804FrHkCnqIJMvcBAim6AbBM==Zlrw
-----END PGP SIGNATURE-----

İlgili okumalar

2 yorum

 
xguru 2025-01-03

Şaşırıp kontrol ettim de sürümüm 3.4.3 çıktı. Son zamanlarda terminali çok kullanmadığım için de ilgilenmedim, bu yüzden güncellemeler de pek düzenli yapılmıyor.
 
GN⁺ 2025-01-03
Hacker News Yorumu

  • iTerm2'yi kullanmama çağrısı konusunda bir karışıklık var; benzer bir şey diğer projelerde de ortaya çıkabilir ve geçişin etkili bir savunma olmadığı düşünülüyor

    • iTerm2'nin güvenlik açığının tersine güvenlik duruşunu güçlendireceğine dair daha olumlu bir bakış açısı var
    • MacOS Terminal uygulaması iTerm2'dan daha az riskli olabilir, ancak kapalı kaynaklı bir yazılım olduğu için denetlenememesi dezavantaj

  • print() ile hata ayıklamanın üretime girmiş olabileceğine dair bir örnek görünüyor

  • SSH entegrasyonundaki bir hata nedeniyle girdi ve çıktılar uzak ana bilgisayardaki bir dosyaya yazıldı

    • Bu dosya başka kullanıcılarca okunabilecek durumda olabilir

  • Geliştiricinin hatasını derinden pişmanlıkla karşılayıp yeniden yaşanmaması için bir şeyler yapacağını söylemesini şüpheyle karşılıyor

    • Tüm özellikleri otomatik araçlarla test etmek gerçekten zor bir iş

  • Sorun yalnızca SSH entegrasyonuna özgü; sadece "ssh" çalıştırıldığında oluşmuyor

  • 2025 yılında iTerm2 kullanmanın güçlü bir nedeni olup olmadığı sorgulanıyor

    • Güvenlik ve gizlilik nedeniyle iTerm2'yi kullanmaktan çekiniyor

  • iTerm2'nin giderek daha karmaşık ve ağırlaşarak güvenlik sorunlarıyla dolduğunu hissediyor

    • Yeni bir terminal emülatörü aramanın zamanı gelmiş gibi
    • GNU Screen'in durağanlaşmasıyla tmux'a geçmeyi düşünüyor

  • Etkilenen ana bilgisayarda /tmp/framer.txt dosyasını silmekten çok, SSH anahtarlarını yenilemenin daha uygun bir çözüm olduğunu düşünüyor

  • Terminalde SSH entegrasyonunun gerçekten gerekli olup olmadığına dair bir soru var

    • Güvenli olmadığından kullanılmaması gerektiğini savunuyor

  • SSH entegrasyonundaki bir hata nedeniyle uzak ana bilgisayarda dosya yazılması hakkında merakını dile getiriyor

    • "framer"ın ne anlama geldiğini merak ediyor