S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 29 juillet 2005
N° CERTA-2005-AVI-292-002
Affaire suivie par: CERT-FR
le 29 juillet 2005

Avis du CERT-FR

Objet: Vulnérabilité de l’éditeur Vim

Gestion du document

Référence CERTA-2005-AVI-292-002
Titre Vulnérabilité de l’éditeur Vim
Date de la première version 29 juillet 2005
Date de la dernière version 31 août 2005
Source(s) Avis de sécurité #75 de Georgi Guninski
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire avec les privilèges de l'utilisteur courant.

Systèmes affectés

Vim peut être utilisé sur de nombreux systèmes depuis les Unix jusqu'aux systèmes Microsoft en passant par les Macintoshs.

Description

Vim est un éditeur de texte pouvant recevoir des commandes. Ces commandes peuvent être insérées dans le corps même des fichiers édités. Une mauvaise gestion de certaines commandes permet l'exécution de commandes « shell » arbitraires incluses dans un document malicieux si l'option « modelines » est activée.

Les versions graphiques kvim, gvim,...sont également affectées.

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 29 juillet 2005
    version initiale.
    le 01 août 2005
    ajout des références aux bulletins de sécurité FreeBSD.
    le 31 août 2005
    ajout des références aux bulletins de sécurité RedHat, Mandriva et Avaya.