ターミナルエミュレータの制御文字処理に関する脆弱性
ターミナルエミュレータの制御文字処理に関する脆弱性
新しいターミナルエミュレーターは改善されているのですが、旧いターミナルエミュレーターは、コピー&ペーストされた文字列のサニタイズが不完全で、遠隔で任意のコードが実行可能となる脆弱性を孕んでいます。
過去にはブラウザにも同様の脆弱性がありましたが、ターミナルも同じことになることが判明しています。
https://turbochaos.blogspot.jp/2014/08/journalctl-terminal-escape-injection.html
以下に掲載するターミナルエミュレーターには、この脆弱性があることが確認されています。
LXTerminal
rxvt
urxvt
putty
gnome-terminal
Konsole
Guake
Yakuake
tilda
Terminator
xfce4-terminal
Terminology
ROXTerm
sakura
lilyterm
Eterm
aterm
mrxvt
pterm
OSXのターミナル
debianは、バンドルされるものが最新ではないので、ソースビルドが推奨されています。
そのほかのディストリビューションの対応を待って、対策を講じることとなります。
https://turbochaos.blogspot.jp/2014/08/journalctl-terminal-escape-injection.html
以下に掲載するターミナルエミュレーターには、この脆弱性があることが確認されています。
LXTerminal
rxvt
urxvt
putty
gnome-terminal
Konsole
Guake
Yakuake
tilda
Terminator
xfce4-terminal
Terminology
ROXTerm
sakura
lilyterm
Eterm
aterm
mrxvt
pterm
OSXのターミナル
debianは、バンドルされるものが最新ではないので、ソースビルドが推奨されています。
そのほかのディストリビューションの対応を待って、対策を講じることとなります。
コメント
コメントを投稿