Уязвимость в tmux, эксплуатируемая через escape-последовательность

Все новости из мира ОС Linux, BSD, Unix
Ответить
Аватара пользователя
[Ботя]
Тролль
Тролль
Сообщения: 89718
Зарегистрирован: 07 мар 2019, 15:48
ОС: MSDOS

Уязвимость в tmux, эксплуатируемая через escape-последовательность

Сообщение [Ботя] » 06 ноя 2020, 16:30

В консольном оконном менеджере tmux ("terminal multiplexer"), разрабатываемом проектом OpenBSD для замены программы GNU Screen, выявлена уязвимость (CVE-2020-27347), приводящая к переполнению буфера при вводе специально оформленной escape-последовательности. Для атаки достаточно вывести на экран псевдотерминала escape-последовательность, например, пользователь может быть атакован при просмотре через curl содержимого вредоносной страницы, при входе по ssh на вредоносный хост или при выводе содержимого лога, в котором могут быть отражены данные атакующего. Уязвимость устранена или не проявляется (уязвимы только версии, начиная с tmux 2.9) в OpenBSD, Debian, SUSE, RHEL, Fedora, Ubuntu, FreeBSD.

Подробнее...

Ответить

Вернуться в «Новости *nix»