Vim modelines 任意命令执行漏洞

漏洞信息详情

Vim modelines 任意命令执行漏洞

• CNNVD编号：CNNVD-200507-256
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2005-2368
  
• 漏洞类型：
  
  
  操作系统命令注入
  
• 发布时间：
  
  2005-07-26
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-28
  
• 厂        商：
  
  vim_development_group
• 漏洞来源：
  Discovery of this …

vim是一个UNIX高级文本编辑器。

vim 6.3.082之前的6.3版本存在任意命名执行漏洞。在启用modelines时，可让需要外部用户协助的攻击者通过(1) glob中的shell元数据字符或(2)用于计算折叠层数的foldexpr表达式的扩展命令来执行任意命令。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://vim.sourceforge.net/download.php

来源: MISC

链接:http://www.guninski.com/where_do_you_want_billg_to_go_today_5.html

来源: FULLDISC

名称: 20050725 Help poor children in Uganda

链接:http://lists.grok.org.uk/pipermail/full-disclosure/2005-July/035402.html

来源: BID

名称: 14374

链接:http://www.securityfocus.com/bid/14374

来源: REDHAT

名称: RHSA-2005:745

链接:http://www.redhat.com/support/errata/RHSA-2005-745.html