Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
vim
(Unknown)
Описание
Плагин Netrw в netrw.vim в Vim позволяет злоумышленникам выполнить произвольный код с помощью спецсимволов интерпретатора командной строки в именах файлов, используемых execute and system functions в командах mz и mc, как показано на примере наборов тестов netrw.v2 и netrw.v3. Для эксплуатации уязвимости необходимы активные действия со стороны пользователя.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.vim.org/
http://www.vim.org/
Ссылки
MISC (http://www.rdancer.org/vulnerablevim-netrw.v2.html): http://www.rdancer.org/vulnerablevim-netrw.v2.html
MISC (http://www.rdancer.org/vulnerablevim-netrw.html): http://www.rdancer.org/vulnerablevim-netrw.html
MLIST ([oss-security] 20080707 Re: More arbitrary code executions in Netrw version 125, Vim 7.2a.10): http://www.openwall.com/lists/oss-security/2008/07/07/4
XF (netrw-multiple-code-execution(43624)): http://xforce.iss.net/xforce/xfdb/43624
BID (30115): http://www.securityfocus.com/bid/30115
REDHAT (RHSA-2008:0580): http://www.redhat.com/support/errata/RHSA-2008-0580.html
MLIST ([oss-security] 20081020 CVE request (vim)): http://www.openwall.com/lists/oss-security/2008/10/20/2
MLIST ([oss-security] 20080708 Re: More arbitrary code executions in Netrw version 125, Vim 7.2a.10): http://www.openwall.com/lists/oss-security/2008/07/08/12
MLIST ([oss-security] 20080707 Re: More arbitrary code executions in Netrw version 125, Vim 7.2a.10): http://www.openwall.com/lists/oss-security/2008/07/07/1
MANDRIVA (MDVSA-2008:236): http://www.mandriva.com/security/advisories?name=MDVSA-2008:236
CONFIRM (http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0324): http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0324
MLIST ([oss-security] 20081016 CVE request - Vim netrw.plugin): http://marc.info/?l=oss-security&m=122416184431388&w=2
BUGTRAQ (20080701 Re: Collection of Vulnerabilities in Fully Patched Vim 7.1): http://marc.info/?l=bugtraq&m=121494431426308&w=2
SUSE (SUSE-SR:2009:007): http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00004.html
CONFIRM (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=506919): http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=506919
MISC (http://www.rdancer.org/vulnerablevim-netrw.html): http://www.rdancer.org/vulnerablevim-netrw.html
MLIST ([oss-security] 20080707 Re: More arbitrary code executions in Netrw version 125, Vim 7.2a.10): http://www.openwall.com/lists/oss-security/2008/07/07/4
XF (netrw-multiple-code-execution(43624)): http://xforce.iss.net/xforce/xfdb/43624
BID (30115): http://www.securityfocus.com/bid/30115
REDHAT (RHSA-2008:0580): http://www.redhat.com/support/errata/RHSA-2008-0580.html
MLIST ([oss-security] 20081020 CVE request (vim)): http://www.openwall.com/lists/oss-security/2008/10/20/2
MLIST ([oss-security] 20080708 Re: More arbitrary code executions in Netrw version 125, Vim 7.2a.10): http://www.openwall.com/lists/oss-security/2008/07/08/12
MLIST ([oss-security] 20080707 Re: More arbitrary code executions in Netrw version 125, Vim 7.2a.10): http://www.openwall.com/lists/oss-security/2008/07/07/1
MANDRIVA (MDVSA-2008:236): http://www.mandriva.com/security/advisories?name=MDVSA-2008:236
CONFIRM (http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0324): http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0324
MLIST ([oss-security] 20081016 CVE request - Vim netrw.plugin): http://marc.info/?l=oss-security&m=122416184431388&w=2
BUGTRAQ (20080701 Re: Collection of Vulnerabilities in Fully Patched Vim 7.1): http://marc.info/?l=bugtraq&m=121494431426308&w=2
SUSE (SUSE-SR:2009:007): http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00004.html
CONFIRM (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=506919): http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=506919