Risque
- Exécution de code arbitraire
Systèmes affectés
Vim versions 7.0.219 et antérieures.
Résumé
Une vulnérabilité dans l'éditeur de texte Vim permet d'exécuter du code arbitraire.
Description
Une erreur dans la fonction feedkeys() de l'éditeur de texte Vim permet à un utilisateur malintentionné d'exécuter du code arbitraire dans le contexte d'un éditeur vulnérable par le biais d'un fichier construit de façon particulière. L'exploitation de la vulnérabilité nécessite que l'option modelines soit activée dans Vim.
Solution
Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Mandriva MDKSA-2007:101 du 09 mai 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:101
- Bulletin de sécurité RedHat RHSA-2007:0346 du 09 mai 2007 : http://rhn.redhat.com/errata/RHSA-2007-0346.html
- Bulletin de sécurité SuSE SUSE-SR:2007:012 : http://lists.suse.com/archive/suse-security-announce/2007-May/0008.html
- Bulletin de sécurité Ubuntu USN-463-1 du 22 mai 2007 : http://www.ubuntulinux.org/usn/usn-463-1
- Référence CVE CVE-2007-2438 https://www.cve.org/CVERecord?id=CVE-2007-2438