# iTerm2 중대한 보안 업데이트 발표

> Clean Markdown view of GeekNews topic #18557. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=18557](https://news.hada.io/topic?id=18557)
- GeekNews Markdown: [https://news.hada.io/topic/18557.md](https://news.hada.io/topic/18557.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2025-01-03T10:35:59+09:00
- Updated: 2025-01-03T10:35:59+09:00
- Original source: [iterm2.com](https://iterm2.com/downloads/stable/iTerm2-3_5_11.changelog)
- Points: 2
- Comments: 2

## Topic Body

- iTerm2 버전 3.5.11은 2025년 1월 2일에 빌드되었으며, 중요한 보안 수정이 포함되어 있음. 즉시 업데이트할 것을 강력히 권장함.

### 영향을 받는 사용자
- SSH 통합 기능을 사용한 경우, 다음 버전에서 영향을 받을 수 있음:
  - 3.5.6
  - 3.5.7
  - 3.5.8
  - 3.5.9
  - 3.5.10
  - 3.5.6 이후의 모든 베타 버전

### 문제의 원인
- SSH 통합 기능의 버그로 인해 입력 및 출력이 원격 호스트의 파일에 기록됨. 이 파일(/tmp/framer.txt)은 원격 호스트의 다른 사용자에게 읽힐 수 있음.

### 문제 발생 조건
1. 다음 중 하나를 사용한 경우:
   - it2ssh 명령어
   - 설정 > 프로필 > 일반에서 명령어 팝업 메뉴가 "SSH"로 설정되고, SSH 구성 대화 상자에서 "SSH 통합"이 체크된 경우
2. 원격 호스트에 Python 3.7 이상이 기본 검색 경로에 설치된 경우

### 조치 사항
- 즉시 버전 3.5.11로 업그레이드할 것.
- 영향을 받은 호스트에서 /tmp/framer.txt 파일을 삭제할 것.

### 문제 해결 방법
- 이 실수를 깊이 반성하며, 다시는 발생하지 않도록 조치를 취할 것임.
- SSH 통합에서 로그 파일을 작성하는 코드는 삭제되었으며, 공개되지 않을 것임.
- 질문이 있는 경우 gnachman@gmail.com으로 연락 가능함.

### 파일 검증
- zip 파일의 SHA-256: 655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
- https://keybase.io/verify에서 다음을 사용하여 zip 파일을 검증할 수 있음:
  ```
  -----BEGIN PGP SIGNED MESSAGE-----
  Hash: SHA256
  655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
  -----BEGIN PGP SIGNATURE-----
  iHUEAREIAB0WIQSAPIQGkYVsjnBRo2J0Et0TaFtKrAUCZ3br8gAKCRB0Et0TaFtK
  rLntAQDqPcKkRA23Wo5/XuB2lymF8n+0GK3E+ZT3MYbTNgsnSQD/Xgt7V9QhP42n
  QmQpnmb804FrHkCnqIJMvcBAim6AbBM==Zlrw
  -----END PGP SIGNATURE-----
  ```

## Comments



### Comment 32925

- Author: xguru
- Created: 2025-01-03T10:54:56+09:00
- Points: 1

놀라서 확인해보니 제 버전은 3.4.3 이네요. 요즘 터미널 잘 안써서 신경도 안썼더니 업데이트도 잘 안하게 됩니다.

### Comment 32919

- Author: neo
- Created: 2025-01-03T10:36:00+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=42579472) 
- iTerm2를 사용하지 말라는 의견에 혼란스러움. 다른 프로젝트에서도 같은 문제가 발생할 수 있으며, 전환은 효과적인 방어책이 아님
  - iTerm2의 보안 문제가 오히려 보안 태세를 개선할 것이라는 긍정적인 시각
  - MacOS Terminal 앱이 iTerm2보다 낮은 위험성을 가질 수 있지만, 폐쇄형 소프트웨어라 감사가 불가능하다는 단점이 있음

- print() 디버깅이 프로덕션에 들어간 사례로 보임

- SSH 통합 기능의 버그로 인해 입력과 출력이 원격 호스트의 파일에 기록됨
  - 이 파일은 다른 사용자가 읽을 수 있을 가능성이 있음

- 실수를 깊이 후회하며 재발 방지를 위한 조치를 취할 것이라는 개발자의 발언에 회의적임
  - 모든 기능을 자동화된 도구로 테스트하는 것은 매우 어려운 일임

- SSH 통합 기능에만 해당되는 문제이며, 단순히 "ssh"를 실행할 때는 발생하지 않음

- 2025년에 iTerm2를 사용하는 강력한 이유가 있는지 의문
  - 보안 및 개인정보 문제로 인해 iTerm2 사용을 꺼려함

- iTerm2가 점점 복잡하고 무거워지며 보안 문제가 많다고 느낌
  - 새로운 터미널 에뮬레이터를 찾아볼 필요성을 느낌
  - GNU Screen이 정체되어 tmux로 전환할 계획

- 영향을 받은 호스트에서 /tmp/framer.txt를 삭제하는 것보다 SSH 키를 교체하는 것이 더 적절한 해결책이라고 생각함

- 터미널에 SSH 통합이 필요한 이유에 의문을 가짐
  - 안전하지 않기 때문에 사용하지 말아야 한다고 주장

- SSH 통합 기능의 버그로 인해 원격 호스트에 파일이 기록되는 현상에 대해 궁금증을 가짐
  - "framer"의 의미에 대해 궁금해함