• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-4467-1 vim -- обновление безопасности

Главная Специалистам База уязвимостей DSA-4467-1 vim -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
vim (any) vim-athena (any) vim-common (any) vim-doc (any) vim-gnome (any) vim-gtk (any) vim-gtk3 (any) vim-gui-common (any) vim-nox (any) vim-runtime (any) vim-tiny (any) xxd (any)
Описание
Пользватель Arminius обнаружил уязвимость в Vim, расширенной версии
стандартного UNIX-редактора Vi (Vi IMproved). Проект Common vulnerabilities and
exposures project определяет следующие проблемы:
Обычно редакторы предоставляют возможность для встраивания команд настройки редакторов
(modelines), которые выполняются при открытии файла. При этом опасные команды
фильтруются механизмом песочницы. Было обнаружено, что команда source
(используется для включения и выполнения другого файла) не фильтруется, что позволяет
выполнить команду командной оболочки при открытии в Vim специально сформированного файла.
В стабильном выпуске (stretch) эта проблема была исправлена в
версии 8.0.0197-4+deb9u2.
Рекомендуется обновить пакеты vim.
С подробным статусом поддержки безопасности vim можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/vim">https://security-tracker.debian.org/tracker/vim">https://security-tracker.debian.org/tracker/vim
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
vim - 2:8.0.0197-4+deb9u2
vim-athena - 2:8.0.0197-4+deb9u2
vim-common - 2:8.0.0197-4+deb9u2
vim-doc - 2:8.0.0197-4+deb9u2
vim-gnome - 2:8.0.0197-4+deb9u2
vim-gtk - 2:8.0.0197-4+deb9u2
vim-gtk3 - 2:8.0.0197-4+deb9u2
vim-gui-common - 2:8.0.0197-4+deb9u2
vim-nox - 2:8.0.0197-4+deb9u2
vim-runtime - 2:8.0.0197-4+deb9u2
vim-tiny - 2:8.0.0197-4+deb9u2
xxd - 2:8.0.0197-4+deb9u2
Ссылки
http://www.debian.org/security/dsa-4467/

Источник: CVE
Наименование: CVE-2019-12735
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12735