macOS用の人気ターミナルアプリ「iTerm 2」の最新版v3.5.11が1月2日にリリースされました(ChangeLog)。v3.5.11は重大なセキュリティ問題の修正を含んでおり、ユーザーはできるだけ早期に最新版へ更新することが推奨されています。
今回の問題は以下のバージョンに影響します:
- 3.5.6
- 3.5.7
- 3.5.8
- 3.5.9
- 3.5.10
- 3.5.6移行の全てのベータ版
脆弱性は、iTerm2のSSH統合機能に存在し、入出力がリモートホスト上のファイルに記録されることがあるというもの。問題のファイル/tmp/framer.txtが、リモートホスト上の他のユーザーによって読み取られる可能性があるとのことです。
以下の2つの条件を両方満たす場合に発生します。
- it2sshコマンドを使用するか、「Settings > Profiles > General」で「Command」が「SSH」になっっていて「SSH Integration」にチェックがはいっている。
- リモートホストにPython 3.7以降がインストールされていてパスが設定されている
Hacker Newsの分析によるとデバッグ用のフラグが本番コードでも有効になっており、ログファイルへの出力が行われていた模様。
開発者はこの過ちを深く反省し、二度とこのようなことが起こらないようにSSH統合でログファイルに書き込むコードを削除する対策を行ったとしています。
iTerm2の自動更新機能でアップデートした方も多いと思いますが、手動の方は早めにアップデートした方が良さそうです。
 |
タイトル | iTerm2 |
|---|---|---|
| 公式サイト | http://www.iterm2.com/ | |
| ソフトアンテナ | https://softantenna.com/softwares/6769-iterm2 | |
| 説明 | Mac用の高機能ターミナルエミュレーター。 |
