漏洞信息详情
Vim Netrw脚本多个命令执行漏洞
- CNNVD编号:CNNVD-200902-484
- 危害等级: 中危
- CVE编号: CVE-2008-3076
- 漏洞类型: 操作系统命令注入
- 发布时间: 2008-07-07
- 威胁类型: 远程
- 更新时间: 2009-05-14
- 厂 商: vim
- 漏洞来源: Jan MinÃ&ie...
漏洞简介
Netrw是一款VIM支持的远程读写文件的插件。
Netrw插件没有过滤用作shell参数的文件名,没有正确地使用shellescape()过滤execute命令参数,没有正确地过滤传送给s:System()函数的输入。如果用户使用netrw插件打开了特制的文件或目录,就可能导致以运行Vim用户的权限执行任意代码。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
RedHat已经为此发布了一个安全公告(RHSA-2008:0580-01)以及相应补丁:
RHSA-2008:0580-01:Moderate: vim security update
https://www.redhat.com/support/errata/RHSA-2008-0580.HTML
参考网址
来源: MISC
链接:http://www.rdancer.org/vulnerablevim-netrw.v2.HTML
来源: MISC
链接:http://www.rdancer.org/vulnerablevim-netrw.HTML
来源: MLIST
名称: [oss-security] 20080707 Re: More arbitrary code executions in Netrw version 125, Vim 7.2a.10
链接:http://www.openwall.com/lists/oss-security/2008/07/07/4
来源: XF
名称: netrw-multiple-code-execution(43624)
链接:http://xforce.iss.net/xforce/xfdb/43624
来源: BID
名称: 30115
链接:http://www.securityfocus.com/bid/30115
来源: REDHAT
名称: RHSA-2008:0580
链接:http://www.redhat.com/support/errata/RHSA-2008-0580.HTML
来源: MLIST
名称: [oss-security] 20081020 CVE request (vim)
链接:http://www.openwall.com/lists/oss-security/2008/10/20/2
来源: MLIST
名称: [oss-security] 20080708 Re: More arbitrary code executions in Netrw version 125, Vim 7.2a.10
链接:http://www.openwall.com/lists/oss-security/2008/07/08/12
来源: MLIST
名称: [oss-security] 20080707 Re: More arbitrary code executions in Netrw version 125, Vim 7.2a.10
链接:http://www.openwall.com/lists/oss-security/2008/07/07/1
来源: MANDRIVA
名称: MDVSA-2008:236
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2008:236
来源: wiki.rpath.com
链接:http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0324
来源: SECUNIA
名称: 34418
链接:http://secunia.com/advisories/34418
来源: MLIST
名称: [oss-security] 20081016 CVE request - Vim netrw.plugin
链接:http://marc.info/?l=oss-security&m=122416184431388&w=2
来源: BUGTRAQ
名称: 20080701 Re: Collection of Vulnerabilities in Fully Patched Vim 7.1
链接:http://marc.info/?l=bugtraq&m=121494431426308&w=2
来源: SUSE
名称: SUSE-SR:2009:007
链接:http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00004.HTML
来源: bugs.debian.org
链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=506919
受影响实体
- Vim Vim:7.2a.10
补丁
暂无
评论