CERTA-2005-AVI-292

Vulnerability from certfr_avis - Published: 2005-07-29 - Updated: 2005-08-31

None

Description

Vim est un éditeur de texte pouvant recevoir des commandes. Ces commandes peuvent être insérées dans le corps même des fichiers édités. Une mauvaise gestion de certaines commandes permet l'exécution de commandes « shell » arbitraires incluses dans un document malicieux si l'option « modelines » est activée.

Les versions graphiques kvim, gvim,...sont également affectées.

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Vim peut être utilisé sur de nombreux systèmes depuis les Unix jusqu'aux systèmes Microsoft en passant par les Macintoshs.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003e\u003cTT\u003eVim\u003c/TT\u003e peut \u00eatre utilis\u00e9 sur de nombreux syst\u00e8mes depuis  les Unix jusqu\u0027aux syst\u00e8mes Microsoft en passant par les  Macintoshs.\u003c/P\u003e",
  "content": "## Description\n\nVim est un \u00e9diteur de texte pouvant recevoir des commandes. Ces\ncommandes peuvent \u00eatre ins\u00e9r\u00e9es dans le corps m\u00eame des fichiers \u00e9dit\u00e9s.\nUne mauvaise gestion de certaines commandes permet l\u0027ex\u00e9cution de\ncommandes \u00ab shell \u00bb arbitraires incluses dans un document malicieux si\nl\u0027option \u00ab modelines \u00bb est activ\u00e9e.\n\nLes versions graphiques kvim, gvim,...sont \u00e9galement affect\u00e9es.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 des \u00e9diteurs pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [],
  "initial_release_date": "2005-07-29T00:00:00",
  "last_revision_date": "2005-08-31T00:00:00",
  "links": [
    {
      "title": "Site internet de Vim (utiliser la r\u00e9vision 6.3.082    au moins) :",
      "url": "http://www.vim.org/"
    },
    {
      "title": "Bulletins de s\u00e9curit\u00e9 FreeBSD pour vim, vim+ruby et    vim-lite du 31 juillet 2005 :",
      "url": "http://www.vuxml.org/openbsd/pkg-vim+ruby.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Avaya ASA-2005-189 du 31 ao\u00fbt 2005 :",
      "url": "http://support.avaya.com/elmodocs2/security/ASA-2005-189.pdf"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 Mandriva MDKSA-2005:148 du 22 ao\u00fbt    2005 :",
      "url": "http://www.mandriva.com/security/advisories/name=MDKSA-2005:148"
    },
    {
      "title": "Bulletins de s\u00e9curit\u00e9 FreeBSD pour vim, vim+ruby et    vim-lite du 31 juillet 2005 :",
      "url": "http://www.vuxml.org/openbsd/pkg-vim-lite.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 RedHat RHSA-2005-745 du 22 ao\u00fbt 2005 :",
      "url": "http://rhn.redhat.com/errata/RHSA-20005-745.html"
    },
    {
      "title": "Liste des correctifs de la version 6.3 de Vim :",
      "url": "ftp://ftp.vim.org/pub/vim/patches/6.3/README"
    },
    {
      "title": "Mise \u00e0 jour NetBSD du paquetage Vim :",
      "url": "ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/editors/vim/README.html"
    },
    {
      "title": "Bulletins de s\u00e9curit\u00e9 FreeBSD pour vim, vim+ruby et    vim-lite du 31 juillet 2005 :",
      "url": "http://www.vuxml.org/openbsd/pkg-vim.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 OpenBSD du 27 juillet 2005 :",
      "url": "http://www.vuxml.org/openbsd/7d55ff5a-ffa7-11d9-a07e-000b5d77b0f5.html"
    }
  ],
  "reference": "CERTA-2005-AVI-292",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2005-07-29T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 FreeBSD.",
      "revision_date": "2005-08-01T00:00:00.000000"
    },
    {
      "description": "ajout des r\u00e9f\u00e9rences aux bulletins de s\u00e9curit\u00e9 RedHat, Mandriva et Avaya.",
      "revision_date": "2005-08-31T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire avec les privil\u00e8ges de l\u0027utilisteur courant"
    }
  ],
  "summary": null,
  "title": "Vuln\u00e9rabilit\u00e9 de l\u0027\u00e9diteur Vim",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis de s\u00e9curit\u00e9 #75 de Georgi Guninski",
      "url": "http://www.guninski.com/where_do_you_want_billg_to_go_today_5.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.