云安全日报211116:Ubuntu vim编辑器发现执行任意代码漏洞,需要尽快升级
Vim是Unix及Linux操作系统中广泛使用的文本编辑器。11月15日,Ubuntu发布了安全更新,修复了Ubuntu vim编辑器发现执行任意代码漏洞。以下是漏洞详情:
漏洞详情
来源:https://ubuntu.com/security/notices/USN-5147-1
1.CVE-2021-3872 CVSS评分:7.8 严重程度:中等
vim在打开某些文件时会错误地处理内存。如果用户被诱骗打开特制文件,远程攻击者可能会导致应用程序崩溃,导致拒绝服务,或者可能以用户权限执行任意代码。此问题仅影响Ubuntu 20.04 LTS、Ubuntu 21.04 和 Ubuntu 21.10。
2.CVE-2021-3927 CVSS评分:7.8 严重程度:中等
vim 在打开某些文件时错误地处理了内存。如果用户被诱骗打开特制文件,远程攻击者可能会导致应用程序崩溃,导致拒绝服务,或者可能以用户权限执行任意代码。
3.CVE-2021-3928 CVSS评分:7.8 严重程度:中等
vim 在打开某些文件时错误地处理了内存。如果用户被诱骗打开特制文件,远程攻击者可能会导致应用程序崩溃,导致拒绝服务,或者可能以用户权限执行任意代码。
4.CVE-2021-3903 CVSS评分:7.8 严重程度:低
vim 在打开某些文件时错误地处理了内存。如果用户被诱骗打开特制文件,远程攻击者可能会导致应用程序崩溃,导致拒绝服务,或者可能以用户权限执行任意代码。
5.CVE-2017-17087 CVSS评分:5.5 严重程度:低
Vim 错误地处理了 .swp文件的权限。本地攻击者可能会利用此问题获取敏感信息。此问题仅影响 Ubuntu 14.04 ESM。
6.CVE-2019-20807 CVSS评分:5.3 严重程度:低
Vim 错误地处理了受限模式。本地攻击者可能会利用此问题绕过受限模式并执行任意命令。注意:此更新只会使执行 shell命令变得更加困难。限制模式不应被视为完整的安全措施。此问题仅影响 Ubuntu 14.04 ESM。
受影响产品和版本
上述漏洞影响Ubuntu 21.10, Ubuntu 21.04, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS, Ubuntu 16.04 ESM, Ubuntu 14.04 ESM
解决方案
官方已发布更新,修复了上述漏洞。
Ubuntu 21.10:
vim - 2:8.2.2434-3ubuntu3.1
Ubuntu 21.04:
vim - 2:8.2.2434-1ubuntu1.2
Ubuntu 20.04:
vim - 2:8.1.2269-1ubuntu5.4
Ubuntu 18.04:
vim - 2:8.0.1453-1ubuntu1.7
Ubuntu 16.04:
vim - 2:7.4.1689-3ubuntu1.5+esm3
可用于UA Infra 或 UA Desktop
Ubuntu 14.04:
vim - 2:7.4.052-1ubuntu3.1+esm4
可用于UA Infra 或 UA Desktop
查看更多漏洞信息 以及升级请访问官网:
https://ubuntu.com/security/cve
您可能也感兴趣:
官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
外媒:台积电三大客户苹果、AMD和英伟达罕见同时调整订单量
Meta大幅削减招聘计划 扎克伯格警告为衰退做好准备
撤回美股招股书不足一月 Soul转战港股IPO 三年累计净亏超22亿
机构数据显示618期间共卖出1400万部智能手机 近半数是iPhone
Cruise道歉 自动驾驶出租车故障造成旧金山街道堵塞数小时
马斯克隧道公司Boring Company拉斯维加斯环线首个客运站曝光
美银分析师:未来三年内特斯拉美国市场份额暴跌
特斯拉申请扩建得克萨斯超级工厂 再建占地50万平方英尺厂房
腾讯收购的短视频平台VUE VLOG宣布将停止运营
更多
- 锚定千亿云计算新赛道 爱捷云加码布局分布式云
- 小米12S系列喜迎充电黑科技 搭载澎湃P1/G1两颗自研芯片 内置新一代钴酸锂电池
- 饿了么联合飞猪发起“+1袋”露营垃圾处理公益项目
- QNAP推出TS-664 Intel Celeron四核心处理器双2.5GbE网口NAS
- 赛迪顾问2021年中国PaaS市场:亚马逊云科技入围领导者地位
- 京东超市玩具乐器消费趋势报告:IP潮玩、盲盒热度不减 低线城市潮玩用户增长近两倍
- 腾讯收购的短视频平台VUE VLOG宣布将停止运营
- 奈雪的茶上市一周年 实现五大增长自研自动化设备投入使用
- 哔哩哔哩:双重主要上市转换建议获股东周年大会通过
- 雷军:未来5年研发投入预计将超1000亿
更多
- 三星显示正与Ulvac就8.5代OLED面板生产线沉积设备进行价格谈判
- 外媒:台积电三大客户苹果、AMD和英伟达罕见同时调整订单量
- Meta大幅削减招聘计划 扎克伯格警告为衰退做好准备
- 机构数据显示618期间共卖出1400万部智能手机 近半数是iPhone
- Cruise道歉 自动驾驶出租车故障造成旧金山街道堵塞数小时
- 马斯克隧道公司Boring Company拉斯维加斯环线首个客运站曝光
- 美银分析师:未来三年内特斯拉美国市场份额暴跌
- 特斯拉申请扩建得克萨斯超级工厂 再建占地50万平方英尺厂房
- FCC批准SpaceX在船舶、飞机等移动工具上使用星链卫星互联网
- 苹果在韩国开放应用程序三方支付 仍抽佣26%