Informations de sécurité / 2019 / Informations sur la sécurité -- DSA-4487-1 neovim

Bulletin d'alerte Debian

DSA-4487-1 neovim -- Mise à jour de sécurité

Date du rapport :

23 juillet 2019

Paquets concernés :

neovim

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2019-12735.

Plus de précisions :

L'utilisateur Arminius a découvert une vulnérabilité dans Vim, une version améliorée de l'éditeur UNIX standard Vi (Vi IMproved), qui affecte l'éditeur dérivé Neovim, un éditeur extensible axé sur le code et les fonctions modernes :

Les éditeurs fournissent souvent un moyen d'embarquer des commandes de configuration (aussi appelées modelines) qui sont exécutées lors de l'ouverture d'un fichier. Les commandes malveillantes sont filtrées par un mécanisme de bac à sable. La commande source (utilisée pour inclure et exécuter un autre fichier) n'était pas filtrée, permettant l'exécution de commandes de l'interpréteur avec un fichier soigneusement contrefait ouvert dans Neovim.

Pour la distribution oldstable (Stretch), ce problème a été corrigé dans la version 0.1.7-4+deb9u1.

Nous vous recommandons de mettre à jour vos paquets neovim.