iTerm2 anuncia atualização de segurança crítica

 (iterm2.com)
2 pontos por GN⁺ 2025-01-03 | 2 comentários | Compartilhar no WhatsApp
  • A versão 3.5.11 do iTerm2 foi compilada em 2 de janeiro de 2025 e inclui uma correção de segurança crítica. Recomenda-se fortemente atualizar imediatamente.

Usuários afetados

  • Se você usar a Integração SSH, pode ser afetado em:
    • 3.5.6
    • 3.5.7
    • 3.5.8
    • 3.5.9
    • 3.5.10
    • Todas as versões beta após 3.5.6

Causa do problema

  • Devido a um bug na integração SSH, a entrada e saída foram gravadas em um arquivo no host remoto. Este arquivo (/tmp/framer.txt) pode ser lido por outros usuários do host remoto.

Condições que acionam o problema

  1. Se uma das seguintes opções estiver sendo usada:
    • comando it2ssh
    • O menu pop-up do comando em Configurações > Perfil > Geral está definido como "SSH" e a opção "Integração SSH" está marcada na caixa de diálogo de configuração SSH
  2. O Python 3.7 ou superior está instalado no caminho padrão (PATH) do host remoto.

Ações recomendadas

  • Faça upgrade imediatamente para a versão 3.5.11.
  • Remova o arquivo /tmp/framer.txt dos hosts afetados.

Solução do problema

  • Lamentamos profundamente esse erro e tomaremos as medidas necessárias para que não ocorra novamente.
  • O código que gravava arquivos de log na integração SSH foi removido e não voltará a ser usado.
  • Em caso de dúvidas, entre em contato pelo e-mail gnachman@gmail.com.

Verificação do arquivo

  • SHA-256 do arquivo zip: 655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
  • É possível verificar o arquivo zip em https://keybase.io/verify usando o seguinte: 
    -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
-----BEGIN PGP SIGNATURE-----
iHUEAREIAB0WIQSAPIQGkYVsjnBRo2J0Et0TaFtKrAUCZ3br8gAKCRB0Et0TaFtK
rLntAQDqPcKkRA23Wo5/XuB2lymF8n+0GK3E+ZT3MYbTNgsnSQD/Xgt7V9QhP42n
QmQpnmb804FrHkCnqIJMvcBAim6AbBM==Zlrw
-----END PGP SIGNATURE-----

Leituras relacionadas

2 comentários

 
xguru 2025-01-03

Fiquei surpreso ao conferir, e vi que a minha versão é 3.4.3. Como ultimamente não tenho usado muito o terminal, nem dei muita atenção a isso, então também não tenho atualizado direito.
 
GN⁺ 2025-01-03
Comentário do Hacker News

  • Fiquei confuso com a opinião de que não devemos usar o iTerm2. O mesmo problema pode acontecer em outros projetos, e fazer a transição não é uma defesa realmente eficaz

    • Há uma perspectiva positiva de que os problemas de segurança do iTerm2, na prática, melhorarão a postura de segurança
    • O app Terminal do macOS pode ter menor risco do que o iTerm2, mas tem a desvantagem de ser um software proprietário e não poder ser auditado

  • Parece que depuração com print() entrou em produção

  • Um bug na integração SSH fez com que entradas e saídas fossem gravadas em arquivos no host remoto

    • Esse arquivo pode ser lido por outros usuários

  • Eu sou cético em relação à declaração do desenvolvedor dizendo que se arrependeu profundamente e vai tomar medidas para evitar que aconteça novamente

    • Testar tudo com ferramentas automatizadas é uma tarefa muito difícil

  • O problema está restrito à funcionalidade de integração SSH e não ocorre ao apenas executar ssh

  • Fico em dúvida se há um motivo forte para continuar usando o iTerm2 em 2025

    • Evito usar iTerm2 devido a questões de segurança e privacidade

  • Sinto que o iTerm2 está ficando cada vez mais complexo e pesado, com vários problemas de segurança

    • Sinto necessidade de procurar um novo emulador de terminal
    • Penso em trocar para tmux, já que o GNU Screen parece travado

  • Acho que trocar as chaves SSH é uma solução melhor do que remover /tmp/framer.txt no host afetado

  • Fico na dúvida sobre o porquê de precisar de integração SSH no terminal

    • Argumento de que não deve ser usado porque não é seguro

  • Tenho curiosidade sobre o fato de arquivos estarem sendo gravados em hosts remotos por causa do bug na integração SSH

    • Fico curioso sobre o significado de framer