Вы используете GNU Screen — мультиплексор терминалов? Если да, то у нас для вас важные новости! Только что вышла новая версия GNU Screen 5.0.1. Это не выпуск с новыми функциями. Вместо этого это выпуск с критическими исправлениями безопасности.
GNU Screen — это популярный мультиплексор терминалов или оконный менеджер, который позволяет управлять несколькими сеансами терминала в системах Linux или Unix. Он хорош тем, что позволяет вашим программам продолжать работать, даже если вы отключитесь от компьютера.
Почему вы должны обновить GNU Screen Сейчас
Недавно несколько экспертов по безопасности из SUSE Security Team внимательно изучили программу Screen. Они обнаружили несколько проблем с безопасностью в GNU Screen. Хорошая новость заключается в том, что новая версия Screen 5.0.1 устраняет эти проблемы.
Некоторые из этих проблем были обнаружены в новой версии Screen 5.0.0 (которая вышла в августе 2024 года), в то время как другие уже давно присутствуют в более старых версиях, таких как 4.9.1.
Какие проблемы были исправлены в GNU Screen 5.0.1?
Команда безопасности SUSE обнаружила несколько различных типов проблем:
- Серьезная проблема с контролем (локальный эксплойт для получения прав суперпользователя): в версии Screen 5.0.0, если она была настроена на запуск со специальными мощными системными разрешениями (так называемыми setuid-root), обычный пользователь потенциально мог использовать уязвимость, связанную с тем, как Screen обрабатывает файлы журналов, чтобы получить полный контроль над системой, как администратор (суперпользователь). Это было важное открытие. Эта проблема отслеживается как CVE-2025-23395.
- Риски перехвата терминала: при подключении к общим сеансам Screen временное изменение в том, как Screen обрабатывает разрешения терминала, может позволить другому пользователю шпионить за тем, что вы вводите, или даже вводить команды в ваш сеанс терминала на короткое время. Эта проблема называется CVE-2025-46802. Эта проблема существует в Screen уже давно, по крайней мере с 2005 года.
- Проблема с разрешениями по умолчанию: в версии Screen 5.0.0 настройки по умолчанию были изменены таким образом, чтобы новые виртуальные терминалы (PTY) по умолчанию были доступны для записи всем пользователям системы. Это может привести к тем же проблемам, что и при захвате терминала. Вероятно, это не было задумано изначально и отслеживается как CVE-2025-46803.
- Небольшая утечка информации: при определенных условиях, если Screen работал с особыми правами setuid-root, пользователь мог определить, существуют ли в системе определенные файлы или папки, даже если обычно он не должен был получать эту информацию. Это отслеживается как CVE-2025-46804.
- Проблемы с синхронизацией: существовали потенциальные проблемы с синхронизацией, которые могли позволить злоумышленникам вмешиваться в сигналы, отправляемые программам, что потенциально могло привести к остановке или некорректной работе программ. Это отслеживается как CVE-2025-46805.
Обновление 5.0.1 включает исправления для всех этих проблем с безопасностью. Оно также устраняет ошибку в версии 5.0.0, которая могла приводить к сбою Screen при отправке команд.
Кто может быть затронут?
Наиболее серьёзные проблемы, такие как локальный эксплойт с правами суперпользователя (CVE-2025-23395), затрагивали только те системы, в которых Screen 5.0.0 был установлен для запуска со специальными правами суперпользователя.
В то время как многие системы Linux не настраивают Screen таким образом, некоторые из них, в том числе Arch Linux и NetBSD, делают это. FreeBSD также устанавливает Screen с правами суперпользователя, но только в версии 4.9.1. Gentoo Linux можно настроить с правами суперпользователя по желанию.
Однако некоторые другие проблемы (CVE-2025-46802, CVE-2025-46804, CVE-2025-46805) затрагивали версии Screen 5.0.0 и более старые, например 4.9.1, при запуске с правами суперпользователя.
«Более лёгкая» версия проблемы с захватом терминала (CVE-2025-46802) затрагивает даже экран, если не используется setuid-root, если пользователь пытается присоединиться к многопользовательскому сеансу, которым он владеет.
Небезопасный режим PTY по умолчанию (CVE-2025-46803) затронул Arch Linux и NetBSD версии 5.0.0.
Что вам следует сделать сейчас
Лучше всего как можно скорее обновиться до GNU Screen 5.0.1.
Если ваш дистрибутив операционной системы (например, Ubuntu, Debian, Fedora и т. д.) предоставляет обновление для Screen, воспользуйтесь системой обновлений, чтобы получить новую версию. Обычно это самый простой и безопасный способ обновить программное обеспечение.
Дистрибутивы на базе Debian / Ubuntu:
sudo apt update sudo apt upgrade screen
Fedora/Red Hat:
# For Fedora/RHEL sudo dnf update screen # For older RHEL/CentOS with yum sudo yum update screen
Arch Linux:
sudo pacman -Syu screen
openSUSE:
sudo zypper update screen
Gentoo:
sudo emerge --sync sudo emerge --update screen
Alpine Linux:
sudo apk update sudo apk upgrade screen
Если вы собираете Screen из исходного кода, вы можете найти официальные файлы версии 5.0.1, доступные для скачивания .
После обновления вы можете подтвердить установку с помощью:
screen --version
Чтобы воспользоваться преимуществами новой версии, вам может потребоваться перезапустить все запущенные сеансы экрана. Вы можете просмотреть список текущих сеансов с помощью screen -ls и повторно подключиться к ним с помощью screen -r [session-id].