RHSA-2016:2972: vim security update (Moderate)
基本信息
标题:Vim 输入验证漏洞
CVSS分值:6.8
CVSS:CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
披露时间:2016-11-23
CVEID:CVE-2016-1248
简介:
Vim 是一款开源的、可配置的用于创建和更改任何类型文本的文本编辑器,它可使用在大多数 UNIX 系统和 Apple OS X 中。
Vim patch 8.0.0056之前的版本中存在安全漏洞,该漏洞源于程序未能正确验证‘filetype’、‘syntax’和‘keymap’选项的值。攻击者可利用该漏洞执行任意代码。
解决方案:
请直接在漏洞处理页面,选择对应服务器和漏洞,生成修复命令后,登录到服务器上运行即可。
参考链接:
https://lists.debian.org/debian-lts-announce/2016/11/msg00025.html
https://anonscm.debian.org/cgit/pkg-vim/vim.git/tree/debian/changelog
说明
软件:7.4.629-5.el6
命中:vim-minimal version less than 2:7.4.629-5.el6_8.1
路径:/bin/ex
修复命令/修复方法:
yum update vim-minimal
风险重要提醒(必读):
由于安骑士漏洞修复在测试中无法覆盖所有系统环境,进行漏洞补丁修复行为仍存在一定风险。为了防止出现不可预料的后果,建议您先通过控制台手动创建快照并自行搭建环境充分测试修复方案。
另请参考系统软件漏洞修复最佳实践: https://help.aliyun.com/knowledge_detail/56730.html
鄂公网安备42010402000436号