GN⁺: iTerm2 중대한 보안 업데이트 발표
(iterm2.com)- iTerm2 버전 3.5.11은 2025년 1월 2일에 빌드되었으며, 중요한 보안 수정이 포함되어 있음. 즉시 업데이트할 것을 강력히 권장함.
영향을 받는 사용자
- SSH 통합 기능을 사용한 경우, 다음 버전에서 영향을 받을 수 있음:
- 3.5.6
- 3.5.7
- 3.5.8
- 3.5.9
- 3.5.10
- 3.5.6 이후의 모든 베타 버전
문제의 원인
- SSH 통합 기능의 버그로 인해 입력 및 출력이 원격 호스트의 파일에 기록됨. 이 파일(/tmp/framer.txt)은 원격 호스트의 다른 사용자에게 읽힐 수 있음.
문제 발생 조건
- 다음 중 하나를 사용한 경우:
- it2ssh 명령어
- 설정 > 프로필 > 일반에서 명령어 팝업 메뉴가 "SSH"로 설정되고, SSH 구성 대화 상자에서 "SSH 통합"이 체크된 경우
- 원격 호스트에 Python 3.7 이상이 기본 검색 경로에 설치된 경우
조치 사항
- 즉시 버전 3.5.11로 업그레이드할 것.
- 영향을 받은 호스트에서 /tmp/framer.txt 파일을 삭제할 것.
문제 해결 방법
- 이 실수를 깊이 반성하며, 다시는 발생하지 않도록 조치를 취할 것임.
- SSH 통합에서 로그 파일을 작성하는 코드는 삭제되었으며, 공개되지 않을 것임.
- 질문이 있는 경우 gnachman@gmail.com으로 연락 가능함.
파일 검증
- zip 파일의 SHA-256: 655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2
- https://keybase.io/verify에서 다음을 사용하여 zip 파일을 검증할 수 있음:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 655e32b4a9466104f1b0d8847e852515bc332bdf434801762e01b9625caa43e2 -----BEGIN PGP SIGNATURE----- iHUEAREIAB0WIQSAPIQGkYVsjnBRo2J0Et0TaFtKrAUCZ3br8gAKCRB0Et0TaFtK rLntAQDqPcKkRA23Wo5/XuB2lymF8n+0GK3E+ZT3MYbTNgsnSQD/Xgt7V9QhP42n QmQpnmb804FrHkCnqIJMvcBAim6AbBM==Zlrw -----END PGP SIGNATURE-----
Hacker News 의견
-
iTerm2를 사용하지 말라는 의견에 혼란스러움. 다른 프로젝트에서도 같은 문제가 발생할 수 있으며, 전환은 효과적인 방어책이 아님
- iTerm2의 보안 문제가 오히려 보안 태세를 개선할 것이라는 긍정적인 시각
- MacOS Terminal 앱이 iTerm2보다 낮은 위험성을 가질 수 있지만, 폐쇄형 소프트웨어라 감사가 불가능하다는 단점이 있음
-
print() 디버깅이 프로덕션에 들어간 사례로 보임
-
SSH 통합 기능의 버그로 인해 입력과 출력이 원격 호스트의 파일에 기록됨
- 이 파일은 다른 사용자가 읽을 수 있을 가능성이 있음
-
실수를 깊이 후회하며 재발 방지를 위한 조치를 취할 것이라는 개발자의 발언에 회의적임
- 모든 기능을 자동화된 도구로 테스트하는 것은 매우 어려운 일임
-
SSH 통합 기능에만 해당되는 문제이며, 단순히 "ssh"를 실행할 때는 발생하지 않음
-
2025년에 iTerm2를 사용하는 강력한 이유가 있는지 의문
- 보안 및 개인정보 문제로 인해 iTerm2 사용을 꺼려함
-
iTerm2가 점점 복잡하고 무거워지며 보안 문제가 많다고 느낌
- 새로운 터미널 에뮬레이터를 찾아볼 필요성을 느낌
- GNU Screen이 정체되어 tmux로 전환할 계획
-
영향을 받은 호스트에서 /tmp/framer.txt를 삭제하는 것보다 SSH 키를 교체하는 것이 더 적절한 해결책이라고 생각함
-
터미널에 SSH 통합이 필요한 이유에 의문을 가짐
- 안전하지 않기 때문에 사용하지 말아야 한다고 주장
-
SSH 통합 기능의 버그로 인해 원격 호스트에 파일이 기록되는 현상에 대해 궁금증을 가짐
- "framer"의 의미에 대해 궁금해함