BDU:2022-06178: Уязвимость функции ex_finally() текстового редактора Vim, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Описание уязвимости Уязвимость функции ex_finally() текстового редактора Vim связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю вызвать отказ в обслуживании или выполнить произвольный код с помощью специально созданного файла
Вендор Red Hat Inc., Сообщество свободного программного обеспечения, ООО «Ред Софт», ФССП России, АО «ИВК», АО "НППКТ"
Наименование ПО Red Hat Enterprise Linux, Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), ОС ТД АИС ФССП России, Альт 8 СП, vim, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 8 (Red Hat Enterprise Linux)
  • 10.0 (Debian GNU/Linux)
  • 11.0 (Debian GNU/Linux)
  • 7.3 (РЕД ОС)
  • ИК6 (ОС ТД АИС ФССП России)
  • - (Альт 8 СП)
  • 9 (Red Hat Enterprise Linux)
  • до 9.0.0577 (vim)
  • до 2.6 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Выход операции за границы буфера в памяти, Переполнение буфера в стеке
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 22.09.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Vim:
https://github.com/vim/vim/commit/96b9bf8f74af8abf1e30054f996708db7dc285be

Для Ред ОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-3296

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2022-3296

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения vim до версии 2:9.0.0626-1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения