Säkerhetsbulletin från Debian
DSA-4487-1 neovim -- säkerhetsuppdatering
- Rapporterat den:
- 2019-07-23
- Berörda paket:
- neovim
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2019-12735.
- Ytterligare information:
-
Användaren
Arminius
upptäckte en sårbarhet i Vim, en förbättrad version av UNIX standardeditor Vi (Vi IMproved), som även påverkar Neovim-grenen, en utökningsbar editor fokuserad på modern kod och moderna funktioner:Editorer tillhandahåller normalt ett sätt att inbädda editor-konfigurationskommandon (s.k. modelines) som exekveras när en fil öppnas, medan illasinnade kommandon filtreras av en skyddsmekanism. Man har upptäckt att kommandot
source
(som används för att inkludera och köra ytterligare en fil) inte filtrerades, vilket tillåter exekvering av skalkommandon med hjälp av en noggrant skapad fil som öppnas i Neovim.För den gamla stabila utgåvan (Stretch) har detta problem rättats i version 0.1.7-4+deb9u1.
Vi rekommenderar att ni uppgraderar era neovim-paket.