iTerm2 veröffentlicht ein kritisches Sicherheitsupdate

(iterm2.com)

2 Punkte von GN⁺ 2025-01-03 | 2 Kommentare | Auf WhatsApp teilen

Die Version 3.5.11 von iTerm2 wurde am 2. Januar 2025 gebaut und enthält eine wichtige Sicherheitskorrektur. Ein sofortiges Update wird dringend empfohlen.

Betroffene Nutzer

Bei der Nutzung der SSH-Integration können folgende Versionen betroffen sein:
- 3.5.6
- 3.5.7
- 3.5.8
- 3.5.9
- 3.5.10
- Alle Beta-Versionen nach 3.5.6

Ursache

Durch einen Fehler in der SSH-Integration wurden Eingaben und Ausgaben in eine Datei auf dem Remote-Host geschrieben. Diese Datei (/tmp/framer.txt) kann von anderen Nutzern des Remote-Hosts gelesen werden.

Bedingungen für das Auftreten

Wenn eines der Folgenden verwendet wurde:
- der Befehl it2ssh
- Das Befehls-Popup unter Einstellungen > Profil > Allgemein auf "SSH" gesetzt ist und im SSH-Konfigurationsdialog "SSH-Integration" aktiviert ist
Wenn auf dem Remote-Host Python 3.7 oder höher im Standard-Suchpfad installiert ist

Maßnahmen

Upgraden Sie sofort auf Version 3.5.11.
Löschen Sie die Datei /tmp/framer.txt auf betroffenen Hosts.

Behebung

Wir bedauern diesen Fehler zutiefst und werden Maßnahmen ergreifen, damit er nicht mehr vorkommt.
Der Code, der Log-Dateien in der SSH-Integration schreibt, wurde entfernt und wird nicht veröffentlicht.
Bei Fragen können Sie sich an gnachman@gmail.com wenden.

Dateiverifizierung

SHA-256 der ZIP-Datei: 655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2

Sie können die ZIP-Datei mit dem folgenden Befehl auf https://keybase.io/verify prüfen:

2 Kommentare

xguru 2025-01-03

Als ich es gerade überprüft habe, ist meine Version 3.4.3. Ich nutze den Terminal in letzter Zeit kaum noch, deshalb habe ich auch nicht wirklich darauf geachtet und die Updates werden deshalb kaum eingespielt.

GN⁺ 2025-01-03

Hacker News Kommentar

Der Vorschlag, iTerm2 nicht zu nutzen, ist verwirrend. Dasselbe Problem kann auch in anderen Projekten auftreten, und ein Wechsel ist kein wirksamer Schutz.
- Man kann iTerm2s Sicherheitsproblem auch als Anstoß sehen, die eigene Sicherheitslage zu verbessern.
- Die macOS-Terminal-App könnte ein geringeres Risiko als iTerm2 haben, hat aber den Nachteil, dass sie Closed Source ist und sich daher schlecht auditieren lässt.
Es scheint ein Fall von print()-Debugging in der Produktion zu sein.
Durch einen Bug in der SSH-Integration werden Ein- und Ausgaben auf dem Remote-Host in eine Datei geschrieben.
- Diese Datei könnte von anderen Benutzern gelesen werden können.
Ich bin skeptisch gegenüber der Aussage des Entwicklers, er bedauere den Fehler und setze Maßnahmen gegen Wiederholungen um.
- Es ist sehr schwierig, alle Funktionen mit automatisierten Tools vollständig zu testen.
Der Bug betrifft nur die SSH-Integration; bei einem einfachen Ausführen von ssh tritt er nicht auf.
Ich frage mich, ob es 2025 noch einen guten Grund gibt, iTerm2 zu verwenden.
- Aufgrund der Sicherheits- und Datenschutzbedenken zögere ich, iTerm2 zu nutzen.
iTerm2 wirkt zunehmend komplexer, schwerfälliger und mit vielen Sicherheitsproblemen.
- Ich spüre, dass ich nach einem neuen Terminal-Emulator schauen sollte.
- GNU Screen scheint festzustecken, daher plane ich einen Umstieg auf tmux.
Ich halte es für angemessener, auf den betroffenen Hosts die SSH-Schlüssel zu rotieren, statt /tmp/framer.txt zu löschen.
Ich bezweifle, warum SSH-Integration im Terminal nötig sein soll.
- Ich argumentiere, dass man sie nicht verwenden sollte, weil sie unsicher ist.
Ich frage mich, warum ein Bug in der SSH-Integration dazu führt, dass Dateien auf einen Remote-Host geschrieben werden.
- Ich frage mich, was „framer“ bedeutet.