Aviso de seguridad de Debian
DSA-4467-1 vim -- actualización de seguridad
- Fecha del informe:
- 18 de jun de 2019
- Paquetes afectados:
- vim
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2019-12735.
- Información adicional:
-
El usuario
Arminius
descubrió una vulnerabilidad en Vim, una versión mejorada del editor UNIX estándar Vi («Vi IMproved», o Vi mejorado). El proyecto «Vulnerabilidades y exposiciones comunes» («Common Vulnerabilities and Exposures») identifica el problema siguiente:Es habitual que los editores proporcionen una manera de incorporar órdenes de configuración del editor (también llamadas «modelines») que se ejecutan al abrir un fichero, al tiempo que las órdenes potencialmente nocivas se filtran mediante un mecanismo de entorno aislado («sandbox»). Se descubrió que la orden
source
(usada para incluir y ejecutar otro fichero) no se filtraba, lo que permitía la ejecución de órdenes del intérprete de órdenes («shell») mediante la apertura con Vim de un fichero cuidadosamente preparado.Para la distribución «estable» (stretch), este problema se ha corregido en la versión 2:8.0.0197-4+deb9u2.
Le recomendamos que actualice los paquetes de vim.
Para información detallada sobre el estado de seguridad de vim, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/vim