Vulnérabilité Vim/Neovim

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 3870
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Vulnérabilité Vim/Neovim

Message par charles » 11 juin 2019 20:56

Une vulnérabilité a été découverte et un POC a été publié le 04/06/2019, concernant une vulnérabilité permettant d'exécuter du code arbitraire depuis un éditeur de texte Vim/Neovim et obtenir un reverse shell.
Des correctifs ont été publiées pour les deux éditeurs.
La vulnérabilité sera exploitée avec les droits de l'utilisateur ayant ouvert le fichier.

vim_rce.gif

Pour savoir si votre Vim est vulnérable, ouvrez Vim et saisissez :

Code : Tout sélectionner

:set modeline?
Si Vim renvoie nomodeline, votre éditeur n'est pas vulnérable.

Si vous ne disposez pas d'une version patchée, vous pouvez configurer nomodeline dans Vim :

Code : Tout sélectionner

set modelines=0
set nomodeline
Pour plus d'infos : https://cve.mitre.org/cgi-bin/cvename.c ... 2019-12735
https://github.com/numirias/security/bl ... -neovim.md
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »