BDU:2022-05922: Уязвимость компонента findfile.c текстового редактора Vim, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости Уязвимость компонента findfile.c текстового редактора Vim связана с некоректной обработкой CTRL-W f при отсутствии имени файла. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», АО "НППКТ"
Наименование ПО Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Astra Linux Common Edition (запись в едином реестре российских программ №4433), vim, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 10 (Debian GNU/Linux)
  • 11 (Debian GNU/Linux)
  • 1.7 (Astra Linux Special Edition)
  • 1.6 «Смоленск» (Astra Linux Common Edition)
  • до 8.2.3611 (vim)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Переполнение буфера в куче
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 13.11.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Для Vim:
использование рекомендаций производителя: https://github.com/vim/vim/commit/615ddd5342b50a6878a907062aa471740bd9a847

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-3973

Для ОС Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1011SE17MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения vim до версии 2:9.0.0626-1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения