পড়া জন্য CVE-2009-4487 বিবরণ (যা লগ ফাইলের মধ্যে পালাবার ক্রম বিপদ সম্পর্কে) আমি একটু অবাক হলাম।
সিভিই -2009-4487 উদ্ধৃত :
এনগিনেক্স ০.7..6৪ প্রিন্টযোগ্য অক্ষরকে স্যানিটাইজ না করে লগ ফাইলে ডেটা লেখেন, যা দূরবর্তী আক্রমণকারীগুলিকে উইন্ডোর শিরোনামটি সংশোধন করতে, বা সম্ভবত নির্বিচার কমান্ড কার্যকর করতে বা ফাইলগুলিকে ওভাররাইট করতে পারে, একটি এইচটিটিপি অনুরোধের মাধ্যমে টার্মিনাল এমুলেটরের জন্য একটি এস্কেপ সিকোয়েন্স রয়েছে।
স্পষ্টতই, এটি প্রকৃতপক্ষে এনজিঙ্ক্সের কোনও সুরক্ষা গর্ত সম্পর্কে নয়, তবে টার্মিনাল এমুলেটরগুলির মধ্যে।
অবশ্যই, সম্ভবত cat
টার্মিনালে একটি লগ ফাইল যুক্ত করা দুর্ঘটনাক্রমে ঘটে তবে grep
লগফাইলে প্রবেশ করা খুব সাধারণ। less
সম্ভবত পালানোর ক্রম স্যানিটাইজ করে, কিন্তু শেল কমান্ডগুলি কীভাবে পালানোর ক্রম পরিবর্তন করে না ...
আমি বার্নিশ প্রতিক্রিয়ার সাথে একমত হতে চাই :
সাধারণভাবে টার্মিনাল-প্রতিক্রিয়া-পলায়নের জ্ঞানকে নিয়মিত বিরতিতে প্রশ্ন করা হয়েছিল, তবে এখনও বড় টার্মিনাল এমুলেশন প্রোগ্রামগুলির কোনওটিই এই সিকোয়েন্সগুলি ফেলে দিতে উপযুক্ত বলে মনে করে না, সম্ভবত 1970 এর প্রযুক্তি ব্যবহারের সাথে সামঞ্জস্য করার পথে একটি বিভ্রান্তিকর চেষ্টা করেছিল। [..] লগফাইলে লেখার জন্য যে কোনও এবং সমস্ত প্রোগ্রামকে দোষারোপ করার পরিবর্তে, সুরক্ষা দৃষ্টিকোণ থেকে টার্মিনাল এমুলেশন প্রোগ্রামগুলি বোকা কাজ করা বন্ধ করার জন্য, এবং এইভাবে এবং অন্যান্য সুরক্ষা সমস্যাগুলি একবার সমাধান করা অনেক বেশি উত্পাদনশীল হবে thus এবং সকলের জন্য
এইভাবে আমার প্রশ্নগুলি:
আমি কীভাবে আমার এক্সটার্মকে সুরক্ষিত করতে পারি, যেমন পালাবার সিকোয়েন্সগুলির মাধ্যমে আদেশগুলি চালানো বা ফাইলগুলিকে ওভাররাইট করা আর সম্ভব নয়?
এক্স এর জন্য কোন টার্মিনাল এমুলেটর এই আক্রমণ থেকে সুরক্ষিত?