iTerm2、重大なセキュリティアップデートを発表

(iterm2.com)

2 ポイント投稿者 GN⁺ 2025-01-03 | 2件のコメント | WhatsAppで共有

iTerm2バージョン3.5.11は、2025年1月2日にビルドされ、重要なセキュリティ修正が含まれています。即時のアップデートを強く推奨します。

影響を受けるユーザー

SSH統合を使用している場合、次のバージョンで影響を受ける可能性があります。
- 3.5.6
- 3.5.7
- 3.5.8
- 3.5.9
- 3.5.10
- 3.5.6以降のすべてのベータ版

問題の原因

SSH統合機能のバグにより、入力と出力がリモートホストのファイルに記録されました。このファイル（/tmp/framer.txt）は、リモートホストの他のユーザーによって読み取られる可能性があります。

問題が発生する条件

次のいずれかを使用した場合:
- it2sshコマンド
- 設定 > プロファイル > 一般で、コマンドのポップアップメニューが「SSH」に設定され、SSH設定ダイアログで「SSH統合」にチェックが入っている場合
リモートホストにPython 3.7以上がデフォルトの検索パスにインストールされている場合

対処方法

影響を受けるユーザーは、すぐに3.5.11にアップグレードしてください。
影響を受けたホストで、/tmp/framer.txtファイルを削除してください。

問題の対応

この事故を深く反省し、再発しないよう対策します。
SSH統合でログファイルを書くコードを削除したため、これ以上公開されることはありません。
質問がある場合は、gnachman@gmail.comまでご連絡いただけます。

ファイルの検証

zipファイルのSHA-256: 655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2

https://keybase.io/verify で次のようにしてzipファイルを検証できます。

2件のコメント

xguru 2025-01-03

確認してみたら、自分のバージョンは3.4.3でした。最近はターミナルをあまり使っていないので、気にも留めず更新もあまりしていませんでした。

GN⁺ 2025-01-03

Hacker Newsの意見

iTerm2を使わないべきだという意見には困惑している。別のプロジェクトでも同様の問題が起きる可能性があり、移行は有効な防御策ではない
- iTerm2のセキュリティ上の問題が、逆にセキュリティ体制の改善につながるという前向きな見方もある
- macOSのTerminalアプリはiTerm2より危険性が低いかもしれないが、クローズドソースなので監査ができないという欠点がある
print()デバッグが本番環境に入り込んだ例のように見える
SSH統合機能のバグにより、入出力がリモートホストのファイルに記録される
- このファイルは他のユーザーが読み取れる可能性がある
開発者がミスを深く後悔し再発防止のために対策を取ると述べたことに懐疑的
- すべての機能を自動化されたツールでテストするのは非常に難しい
SSH統合機能にのみ該当する問題で、単に「ssh」を実行するだけでは発生しない
2025年にiTerm2を使い続ける強い理由があるのか疑問
- セキュリティとプライバシーの問題で、iTerm2を避けたい
iTerm2はますます複雑化・重くなり、セキュリティ問題が多くなっていると感じる
- 新しいターミナルエミュレータを探す必要性を感じる
- GNU Screenが停滞しているので、tmuxに移行する予定
影響を受けたホストで/tmp/framer.txtを削除するより、SSHキーを交換するほうが適切な対処だと考える
ターミナルにSSH統合が必要な理由に疑問を抱く
- 安全でないため、使用すべきでないと主張
SSH統合機能のバグによりリモートホストにファイルが記録される現象について疑問を持つ
- 「framer」の意味がどういうものか気になる