iTerm2 merilis pembaruan keamanan penting

 (iterm2.com)
2 poin oleh GN⁺ 2025-01-03 | 2 komentar | Bagikan ke WhatsApp
  • Versi iTerm2 3.5.11 dibangun pada 2 Januari 2025 dan berisi perbaikan keamanan penting. Sangat disarankan untuk segera memperbarui.

Pengguna yang terdampak

  • Jika menggunakan fitur Integrasi SSH, versi berikut ini mungkin terdampak:
    • 3.5.6
    • 3.5.7
    • 3.5.8
    • 3.5.9
    • 3.5.10
    • Semua versi beta setelah 3.5.6

Penyebab

  • Karena bug pada fitur Integrasi SSH, input dan output ditulis ke file pada host jarak jauh. File ini (/tmp/framer.txt) dapat dibaca oleh pengguna lain pada host jarak jauh.

Kondisi terjadinya masalah

  1. Jika salah satu dari hal berikut ini digunakan:
    • Perintah it2ssh
    • Opsi menu pop-up perintah di Setelan > Profil > Umum disetel ke "SSH" dan "Integrasi SSH" dicentang pada dialog konfigurasi SSH
  2. Python 3.7 atau lebih tinggi terpasang pada jalur pencarian default di host jarak jauh

Tindakan yang perlu dilakukan

  • Segera upgrade ke versi 3.5.11.
  • Hapus file /tmp/framer.txt dari host yang terdampak.

Solusi perbaikan

  • Kami menyesali kesalahan ini dan akan mengambil tindakan agar tidak terjadi lagi.
  • Kode yang menulis file log di Integrasi SSH telah dihapus dan tidak akan dipublikasikan.
  • Untuk pertanyaan, hubungi gnachman@gmail.com.

Verifikasi file

  • SHA-256 berkas zip: 655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
  • Anda dapat memverifikasi berkas zip di https://keybase.io/verify dengan menggunakan hal berikut: 
    -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
-----BEGIN PGP SIGNATURE-----
iHUEAREIAB0WIQSAPIQGkYVsjnBRo2J0Et0TaFtKrAUCZ3br8gAKCRB0Et0TaFtK
rLntAQDqPcKkRA23Wo5/XuB2lymF8n+0GK3E+ZT3MYbTNgsnSQD/Xgt7V9QhP42n
QmQpnmb804FrHkCnqIJMvcBAim6AbBM==Zlrw
-----END PGP SIGNATURE-----

Bacaan terkait

2 komentar

 
xguru 2025-01-03

Saya kaget ketika mengecek, ternyata versiku adalah 3.4.3. Akhir-akhir ini saya jarang pakai terminal, jadi saya juga kurang memperhatikannya, dan karena itu update pun jadi jarang dilakukan.
 
GN⁺ 2025-01-03
Komentar Hacker News

  • Saya bingung dengan rekomendasi agar tidak memakai iTerm2. Masalah yang sama juga bisa terjadi di proyek lain, jadi berpindah tidak otomatis jadi pertahanan yang efektif.

    • Ada pandangan positif bahwa isu keamanan iTerm2 justru bisa meningkatkan posture keamanan.
    • Aplikasi Terminal macOS mungkin memiliki risiko lebih rendah daripada iTerm2, tetapi karena merupakan perangkat lunak tertutup, ia tidak bisa diaudit.

  • print() debugging tampaknya sudah masuk ke production.

  • Bug pada fitur integrasi SSH membuat input dan output tertulis ke file di host jarak jauh.

    • File ini mungkin bisa dibaca oleh pengguna lain.

  • Skeptis terhadap pernyataan pengembang yang mengatakan sangat menyesal dan akan mengambil langkah agar tidak terulang.

    • Menguji semua fitur dengan alat otomatis memang sangat sulit.

  • Hanya terjadi pada fitur integrasi SSH; tidak terjadi saat menjalankan ssh secara langsung.

  • Meragukan apakah ada alasan kuat untuk menggunakan iTerm2 di 2025.

    • Saya tidak terlalu nyaman memakai iTerm2 karena isu keamanan dan privasi.

  • I feel iTerm2 semakin kompleks, berat, dan banyak celah keamanannya.

    • Merasa perlu mencari emulator terminal baru.
    • Berencana beralih ke tmux karena GNU Screen sudah tidak berkembang.

  • Saya pikir mengganti SSH key lebih tepat daripada menghapus /tmp/framer.txt di host yang terdampak.

  • Saya mempertanyakan kebutuhan integrasi SSH di terminal.

    • Karena tidak aman, mereka menyarankan agar tidak dipakai.

  • Saya penasaran kenapa fitur integrasi SSH bisa menulis file ke host jarak jauh karena bug.

    • Saya juga penasaran apa arti "framer".