Säkerhetsbulletin från Debian

DSA-4467-1 vim -- säkerhetsuppdatering

Rapporterat den:
2019-06-18
Berörda paket:
vim
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2019-12735.
Ytterligare information:

Användaren Arminius upptäckte en sårbarhet i Vim, en förbättrad version av standard UNIX-editorn Vi (Vi IMproved). Projektet Common vulnerabilities and exposures identifierar följande problem:

Redigerare tillhandahåller vanligen ett sätt att bädda in konfigurationskommandon (även kända som modelines) som exekveras en gång då en fil öppnas, medan skadliga kommandon filtreras av en skyddsmekanism. Man har upptäckt att kommandot source (som används för att inkludera och exekvera en ytterligare fil) inte filtrerades, vilket tillåter skalkommandoexekvering om en specifikt skapad fil öppnas i Vim.

För den stabila utgåvan (Stretch) har detta problem rättats i version 2:8.0.0197-4+deb9u2.

Vi rekommenderar att ni uppgraderar era vim-paket.

För detaljerad säkerhetsstatus om vim vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/vim