Debians sikkerhedsbulletin

DSA-4467-1 vim -- sikkerhedsopdatering

Rapporteret den:
18. jun 2019
Berørte pakker:
vim
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2019-12735.
Yderligere oplysninger:

Brugeren Arminius opdagede en sårbarhed i Vim, en udvidet version af stadard-UNIX-editoren Vi (Vi IMproved). Projektet Common vulnerabilities and exposures, har registreret følgende problem:

Editorer tilbyder typisk en måde at indlejre editoropsætningskommandoer på (dvs. modelines), som udføres når en fil åbnes, mens skadelige kommandoer bliver bortfiltreret af en sandkassemekanisme. Man opdagede at kommandoen source (som anvendes til at medtage og udføre en anden fil) ikke blev filteret, hvilket muliggjorde udførelse af shellkommandoer, med en omhyggeligt fremstillet fil, der åbnes i Vim.

I den stabile distribution (stretch), er dette problem rettet i version 2:8.0.0197-4+deb9u2.

Vi anbefaler at du opgraderer dine vim-pakker.

For detaljeret sikkerhedsstatus vedrørende vim, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/vim