Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Vim / Gvim Modelines : Exécution de Commandes

22/01/2007 07H57
Référence Secunia : SA13490 
Date de publication : 2004-12-16

Risque : Non Critique. Niveau 2 sur 5.
Impact : Elévation de privilèges
Lieu : Système local


Solutions :
Correctif de l'éditeur


Produit :
GVim 6.x
Vim 6.x

Référence CVE :
CVE-2004-1138


Description :
Ciaran McCreesh a rapporté quelques vulnérabilités dans vim et gvim, qui pourraient être exploitées par des utilisateurs locaux malveillants pour obtenir des privilèges plus élevés.

Les vulnérabilités sont causées du fait que quelques erreurs dans le modelines options. Cela pourrait être exploité pour exécuter des commandes shell quand un fichier malicieux est ouvert.

L'exploitation de ce problème peut déboucher sur des privilèges plus élevés mais n'est possible seulement si modelines est actif.


Solutions :
Appliquer le correctif pour vim 6.3:
ftp.vim.org/pub/vim/patches/6.3/6.3.045

Vulnérabilité découverte par :

Ciaran McCreesh

Référence :
http://www.gentoo.org/security/en/glsa/glsa-200412-10.xml






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.