Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
vim
(any)
vim-athena
(any)
vim-common
(any)
vim-doc
(any)
vim-gnome
(any)
vim-gtk
(any)
vim-gtk3
(any)
vim-gui-common
(any)
vim-nox
(any)
vim-runtime
(any)
vim-tiny
(any)
xxd
(any)
Описание
Пользватель Arminius обнаружил уязвимость в Vim, расширенной версии
стандартного UNIX-редактора Vi (Vi IMproved). Проект Common vulnerabilities and
exposures project определяет следующие проблемы:
Обычно редакторы предоставляют возможность для встраивания команд настройки редакторов
(modelines), которые выполняются при открытии файла. При этом опасные команды
фильтруются механизмом песочницы. Было обнаружено, что команда source
(используется для включения и выполнения другого файла) не фильтруется, что позволяет
выполнить команду командной оболочки при открытии в Vim специально сформированного файла.
В стабильном выпуске (stretch) эта проблема была исправлена в
версии 8.0.0197-4+deb9u2.
Рекомендуется обновить пакеты vim.
С подробным статусом поддержки безопасности vim можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/vim">https://security-tracker.debian.org/tracker/vim">https://security-tracker.debian.org/tracker/vim
стандартного UNIX-редактора Vi (Vi IMproved). Проект Common vulnerabilities and
exposures project определяет следующие проблемы:
Обычно редакторы предоставляют возможность для встраивания команд настройки редакторов
(modelines), которые выполняются при открытии файла. При этом опасные команды
фильтруются механизмом песочницы. Было обнаружено, что команда source
(используется для включения и выполнения другого файла) не фильтруется, что позволяет
выполнить команду командной оболочки при открытии в Vim специально сформированного файла.
В стабильном выпуске (stretch) эта проблема была исправлена в
версии 8.0.0197-4+deb9u2.
Рекомендуется обновить пакеты vim.
С подробным статусом поддержки безопасности vim можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/vim">https://security-tracker.debian.org/tracker/vim">https://security-tracker.debian.org/tracker/vim
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
vim - 2:8.0.0197-4+deb9u2
vim-athena - 2:8.0.0197-4+deb9u2
vim-common - 2:8.0.0197-4+deb9u2
vim-doc - 2:8.0.0197-4+deb9u2
vim-gnome - 2:8.0.0197-4+deb9u2
vim-gtk - 2:8.0.0197-4+deb9u2
vim-gtk3 - 2:8.0.0197-4+deb9u2
vim-gui-common - 2:8.0.0197-4+deb9u2
vim-nox - 2:8.0.0197-4+deb9u2
vim-runtime - 2:8.0.0197-4+deb9u2
vim-tiny - 2:8.0.0197-4+deb9u2
xxd - 2:8.0.0197-4+deb9u2
Debian GNU/Linux 9:
noarch:
vim - 2:8.0.0197-4+deb9u2
vim-athena - 2:8.0.0197-4+deb9u2
vim-common - 2:8.0.0197-4+deb9u2
vim-doc - 2:8.0.0197-4+deb9u2
vim-gnome - 2:8.0.0197-4+deb9u2
vim-gtk - 2:8.0.0197-4+deb9u2
vim-gtk3 - 2:8.0.0197-4+deb9u2
vim-gui-common - 2:8.0.0197-4+deb9u2
vim-nox - 2:8.0.0197-4+deb9u2
vim-runtime - 2:8.0.0197-4+deb9u2
vim-tiny - 2:8.0.0197-4+deb9u2
xxd - 2:8.0.0197-4+deb9u2
Ссылки
http://www.debian.org/security/dsa-4467/
Источник: CVE
Наименование: CVE-2019-12735
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12735
Источник: CVE
Наименование: CVE-2019-12735
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12735