BDU:2022-04214: Уязвимость функции ins_bs() текстового редактора Vim, позволяющая нарушителю выполнить произвольный код в целевой системе

Описание уязвимости

Уязвимость функции ins_bs() (edit.c) текстового редактора Vim связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код в целевой системе

Вендор

ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Fedora Project, ООО «Ред Софт», ФССП России, АО "НППКТ"

Наименование ПО

Версия ПО

  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 10 (Debian GNU/Linux)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 11 (Debian GNU/Linux)
  • 35 (Fedora)
  • 7.3 (РЕД ОС)
  • 1.7 (Astra Linux Special Edition)
  • ИК6 (ОС ТД АИС ФССП России)
  • 36 (Fedora)
  • до 8.2.5162 (vim)
  • 4.7 (Astra Linux Special Edition)
  • до 2.6 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Тип ошибки

Переполнение буфера в куче

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

27.06.2022

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Vim:
https://github.com/vim/vim/commit/0971c7a4e537ea120a6bb2195960be8d0815e97b

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/GFD2A4YLBR7OIRHTL7CK6YNMEIQ264CN/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U743FMJGFQ35GBPCQ6OWMVZEJPDFVEWM/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-2207

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/
Для Astra Linux Special Edition 1.7 архитектуры x86-64:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения vim до версии 2:9.0.0626-1

Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет vim до 2:9.0.0242-1.astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения