Escolar Documentos
Profissional Documentos
Cultura Documentos
CVE Report
Detalhes do report:
Foi descoberto que o Vim possuía permissões incorretamente atribuídas nos arquivos .swp,
fazendo com que um atacante local pudesse usar esta falha para obter informações sensíveis.
Esse problema afetou apenas o Ubuntu 14.04 ESM. (CVE-2017-17087)
Foi descoberto também que as permissões de restrição do Vim estavam incorretamente
atribuídas, fazendo com que um atacante local pudesse utilizar-las para passar por cima do
modo de restrição e executar comandos triviais. É importante lembrar de que o modo de
restrição do Ubuntu não se deve ser considerado uma política de segurança, ele apenas torna
mais difícil executar comandos shell. (CVE-2019-20807)
Usuário Brian Carpenter descobriu que o Vim também utilizava a memória errado enquanto
abria certos arquivos, se um usuário fosse manipulado a abrir um arquivo especialmente criado,
um atacante remoto poderia quebrar a aplicação, levando a um Denial of Service(DoS), ou até
executar comandos com as permissões do usuário. Diferente dos outros, esse problema afetou
as versões 20.04 LTS, 21.04 e 21.10 do Ubuntu. (CVE-2021-3872)
Instruções de correção:
Os problemas puderam ser resolvidos apenas atualizando o pacote para versões mais atuais do
Ubuntu, de modo que o próprio sistema atualizou e corrigiu os erros do pacote, fazendo todas
as mudanças necessárias.
2. CVE-2019-20807 (Low)
Publicado em 28 de maio de 2020, o usuário descobriu que, utilizando o pacote Vim antes de
versão 8.1.0881, usuários conseguiam passar por cima do modo restrito do rvim e executar
comandos arbitrários do sistema operacional apenas utiliizando interfaces de script, como por
exemplo Python ou Ruby. Assim como a falha anterior, a falha apareceu primeiramente na
versão 14.04 ESM, mas mesmo sendo atualizada para a 16.04 ESM, a falha continuou. Sendo
atualizada novamente para a versão 18.04 LTS, surpreendentemente o problema continuou,
sendo necessário atualizar o sistema novamente para a 20.04 LTS, finalmente corrigindo a falha.
3. CVE-2021-3872 (Medium)
Publicado em 19 de outubro de 2021, o usuário descobriu três falhas idênticas onde o Vim é
vulneravel a heap-based buffer overflow, utilizando um pequeno bypass, ele pode causar DoS,
crash na aplicação e execução de códigos utilizando as permissões do usuário. Descoberta na
versão 20.04 LTS, a correção se deu apenas atualizando o sistema pela versão mais atual, e
mesmo assim, ele continuou aparecendo até a última atualização lançada.