3 月 29 日，util-linux 軟件包發(fā)布了 2.40 新版，解決了困擾已久的 wall 命令安全漏洞——WallEscape。該漏洞長(zhǎng)達(dá) 11 年，可導(dǎo)致密碼竊取或用戶剪貼板更改。

WallEscape 主要影響“wall”命令操作，Linux 系統(tǒng)中的常規(guī)下，該指令被用作向系統(tǒng)所有登錄用戶的終端發(fā)布消息。然而在處理命令行參數(shù)輸入時(shí)，過濾器未正確識(shí)別和過濾轉(zhuǎn)義序列，使未經(jīng)授權(quán)的用戶得以利用此缺陷，欺騙其他用戶轉(zhuǎn)義控制字符輸入管理員密碼。

IT 之家注釋：

util-linux：致力于為用戶打造一套性能強(qiáng)大的全面工具集，助力在 Linux 環(huán)境下完成各項(xiàng)日常任務(wù)，涉及文件管理、磁盤管理、系統(tǒng)控制臺(tái)操作及網(wǎng)絡(luò)管理等多個(gè)方面。

wall 命令：可根據(jù)設(shè)定向所有用戶終端傳送信息，以告知接收到相關(guān)內(nèi)容的開放終端用戶。如果用戶不接受信息，wall 命令便從標(biāo)準(zhǔn)輸入設(shè)備獲取數(shù)據(jù)并發(fā)播至所有終端用戶。