云安全日报211116:Ubuntu vim编辑器发现执行任意代码漏洞,需要尽快升级
Vim是Unix及Linux操作系统中广泛使用的文本编辑器。11月15日,Ubuntu发布了安全更新,修复了Ubuntu vim编辑器发现执行任意代码漏洞。以下是漏洞详情:
漏洞详情
来源:https://ubuntu.com/security/notices/USN-5147-1
1.CVE-2021-3872 CVSS评分:7.8 严重程度:中等
vim在打开某些文件时会错误地处理内存。如果用户被诱骗打开特制文件,远程攻击者可能会导致应用程序崩溃,导致拒绝服务,或者可能以用户权限执行任意代码。此问题仅影响Ubuntu 20.04 LTS、Ubuntu 21.04 和 Ubuntu 21.10。
2.CVE-2021-3927 CVSS评分:7.8 严重程度:中等
vim 在打开某些文件时错误地处理了内存。如果用户被诱骗打开特制文件,远程攻击者可能会导致应用程序崩溃,导致拒绝服务,或者可能以用户权限执行任意代码。
3.CVE-2021-3928 CVSS评分:7.8 严重程度:中等
vim 在打开某些文件时错误地处理了内存。如果用户被诱骗打开特制文件,远程攻击者可能会导致应用程序崩溃,导致拒绝服务,或者可能以用户权限执行任意代码。
4.CVE-2021-3903 CVSS评分:7.8 严重程度:低
vim 在打开某些文件时错误地处理了内存。如果用户被诱骗打开特制文件,远程攻击者可能会导致应用程序崩溃,导致拒绝服务,或者可能以用户权限执行任意代码。
5.CVE-2017-17087 CVSS评分:5.5 严重程度:低
Vim 错误地处理了 .swp文件的权限。本地攻击者可能会利用此问题获取敏感信息。此问题仅影响 Ubuntu 14.04 ESM。
6.CVE-2019-20807 CVSS评分:5.3 严重程度:低
Vim 错误地处理了受限模式。本地攻击者可能会利用此问题绕过受限模式并执行任意命令。注意:此更新只会使执行 shell命令变得更加困难。限制模式不应被视为完整的安全措施。此问题仅影响 Ubuntu 14.04 ESM。
受影响产品和版本
上述漏洞影响Ubuntu 21.10, Ubuntu 21.04, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS, Ubuntu 16.04 ESM, Ubuntu 14.04 ESM
解决方案
官方已发布更新,修复了上述漏洞。
Ubuntu 21.10:
vim - 2:8.2.2434-3ubuntu3.1
Ubuntu 21.04:
vim - 2:8.2.2434-1ubuntu1.2
Ubuntu 20.04:
vim - 2:8.1.2269-1ubuntu5.4
Ubuntu 18.04:
vim - 2:8.0.1453-1ubuntu1.7
Ubuntu 16.04:
vim - 2:7.4.1689-3ubuntu1.5+esm3
可用于UA Infra 或 UA Desktop
Ubuntu 14.04:
vim - 2:7.4.052-1ubuntu3.1+esm4
可用于UA Infra 或 UA Desktop
查看更多漏洞信息 以及升级请访问官网:
https://ubuntu.com/security/cve
您可能也感兴趣:
官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
投行称苹果服务业务2024财年营收有望接近1000亿美元
扎克伯格透露Meta计划将生成式人工智能融入每一款产品中
台积电5月份营收57亿美元 环比大增但同比仍在下滑
外媒称特斯拉正同西班牙洽谈建设超级工厂 投资45亿欧元
若每年生产37.5万辆 特斯拉Cybertruck现有订单需要4年才能完成
继福特之后 通用汽车宣布明年起接入特斯拉超级充电网络
投行看好iPhone 15及Vision Pro 已上调苹果股票目标价
特斯拉计划每年生产37.5万辆Cybertruck全电动皮卡
林志颖复出为小鹏“代言” 海报却出现特斯拉?官方回应:只是玩梗
更多
- 讯飞星火大模型V1.5发布:综合能力三大升级,发布星火APP
- 一汽集团总经理邱现东:今年起“ALL IN”新能源,停止燃油技术投入
- 蔚来汽车2023年一季度营收106.8亿元 同比增加7.7%
- 村田推出支持150℃温度补偿的车用晶体谐振器“XRCGA_F_A”系列
- 基于台积电3nm(N3E)工艺技术的Cadence 16G UCIe 2.5D先进封装IP成功流片
- 微博热搜上线暖新闻机制 加大正能量内容扶持
- 华为新一代分布式数据库GaussDB解析:给世界一个更优选择
- 跨境电商业务年增300% 禾观科技的乘云出海之路
- 英特尔推出全新专业级图形显卡——锐炫Pro A60和Pro A60M
- “史上最强开源大语言模型”Falcon 40B已在Amazon SageMaker JumpStart中可用
更多
- 梅赛德斯-奔驰击败特斯拉 率先在加州获得自动驾驶技术批准
- 投行称苹果服务业务2024财年营收有望接近1000亿美元
- 扎克伯格透露Meta计划将生成式人工智能融入每一款产品中
- 台积电5月份营收57亿美元 环比大增但同比仍在下滑
- 外媒称特斯拉正同西班牙洽谈建设超级工厂 投资45亿欧元
- OpenAI竞争对手Cohere获2.7亿美元C轮融资 英伟达甲骨文等参投
- 特斯拉电动皮卡正式发布 特斯拉电动皮卡长这样
- 若每年生产37.5万辆 特斯拉Cybertruck现有订单需要4年才能完成
- 继福特之后 通用汽车宣布明年起接入特斯拉超级充电网络
- 投行看好iPhone 15及Vision Pro 已上调苹果股票目标价