iTerm2 anuncia una actualización de seguridad crítica

 (iterm2.com)
2 puntos por GN⁺ 2025-01-03 | 2 comentarios | Compartir por WhatsApp
  • La versión 3.5.11 de iTerm2 fue compilada el 2 de enero de 2025 y contiene correcciones de seguridad críticas. Se recomienda encarecidamente actualizar de inmediato.

Usuarios afectados

  • Si usas la integración SSH, podrías verse afectado en las siguientes versiones:
    • 3.5.6
    • 3.5.7
    • 3.5.8
    • 3.5.9
    • 3.5.10
    • Todas las versiones beta posteriores a la 3.5.6

Causa del problema

  • Debido a un error en la integración SSH, la entrada y salida se estaban registrando en un archivo del host remoto. Este archivo (/tmp/framer.txt) podía ser leído por otros usuarios del host remoto.

Condiciones de impacto

  1. Si usas cualquiera de los siguientes casos:
    • El comando it2ssh
    • En Configuración > Perfiles > General, si el menú desplegable de comando está configurado en "SSH" y en el diálogo de configuración de SSH está marcada la opción "Integración SSH"
  2. Si en el host remoto existe Python 3.7 o superior instalado en la ruta de búsqueda predeterminada

Medidas

  • Actualiza de inmediato a la versión 3.5.11.
  • Elimina el archivo /tmp/framer.txt en los hosts afectados.

Solución del problema

  • Lamentamos profundamente este error y tomaremos medidas para que no vuelva a ocurrir.
  • Se eliminó el código de la integración SSH que escribía archivos de registro, y no se volverá a exponer.
  • Si tienes preguntas, puedes contactar a gnachman@gmail.com.

Verificación del archivo

  • SHA-256 del archivo zip: 655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
  • Puedes verificar el archivo zip usando lo siguiente en https://keybase.io/verify: 
    -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
-----BEGIN PGP SIGNATURE-----
iHUEAREIAB0WIQSAPIQGkYVsjnBRo2J0Et0TaFtKrAUCZ3br8gAKCRB0Et0TaFtK
rLntAQDqPcKkRA23Wo5/XuB2lymF8n+0GK3E+ZT3MYbTNgsnSQD/Xgt7V9QhP42n
QmQpnmb804FrHkCnqIJMvcBAim6AbBM==Zlrw
-----END PGP SIGNATURE-----

Lecturas relacionadas

2 comentarios

 
xguru 2025-01-03

Al revisarlo por curiosidad me sorprendió: mi versión es la 3.4.3. Últimamente casi no uso la terminal y, como no le presto atención, tampoco actualizo bien.
 
GN⁺ 2025-01-03
Comentarios de Hacker News

  • Me parece confuso el argumento de que no se deba usar iTerm2; lo mismo puede pasar en otros proyectos y cambiar de herramienta no es una defensa efectiva.

    • Hay una visión positiva de que el problema de seguridad de iTerm2 puede terminar fortaleciendo la postura de seguridad.
    • La app Terminal de MacOS podría tener menos riesgo que iTerm2, pero al ser software cerrado no se puede auditar.

  • Parece que el print() quedó en producción.

  • Un bug en la integración de SSH hace que la entrada y salida se escriban en un archivo del host remoto.

    • Es posible que ese archivo pueda ser leído por otros usuarios.

  • Soy escéptico sobre la declaración del desarrollador de que lamenta profundamente el error y que tomará medidas para evitar que vuelva a ocurrir.

    • Es muy difícil probar todas las funcionalidades con herramientas automatizadas.

  • Es un problema específico de la integración SSH y no ocurre al ejecutar simplemente ssh.

  • Me pregunto si hay una razón fuerte para seguir usando iTerm2 en 2025.

    • Evito usar iTerm2 por temas de seguridad y privacidad.

  • Siento que iTerm2 se está volviendo cada vez más complejo y pesado, y con más problemas de seguridad.

    • Siento que se necesita buscar un nuevo emulador de terminal.
    • GNU Screen está estancado, así que planeo pasar a tmux.

  • Creo que en el host afectado, reemplazar la clave SSH es una solución más adecuada que eliminar /tmp/framer.txt.

  • Me pregunto por qué se necesita integración SSH en el terminal.

    • Dicen que no debería usarse porque no es seguro.

  • Me intriga por qué un bug en la integración SSH escribe archivos en el host remoto.

    • Tengo curiosidad por el significado de "framer".