هشدارهای افتایی
یک پژوهشگر امنیتی اخیرا یک آسیب‌پذیری با درجه حساسیت بالا در برنامه‌های ویرایش متن Vim و Neovim در لینوکس کشف کرده است. این آسیب‌پذیری با شناسه CVE-2019-12735 ردیابی می‌شود.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی Security Affairs، آسیب‌پذیری CVE-2019-12735 یک نقص اجرای دستور دلخواه در سیستم‌عامل است و در برنامه‌های خط فرمان (Command-line) Vim و Neovim وجود دارد. این دو برنامه به طور پیش فرض در توزیع‌های لینوکس نصب شده است.
نسخه‌های قبل از 8.1.1365 در Vim و 0.3.6 در Neovim نسبت به این نقص اجرای کد دلخواه آسیب‌پذیر هستند و با باز کردن یک فایل متنی دستکاری شده می‌توان از آن سوء استفاده کرد. Vim یک ویرایشگر متن قابل پیکربندی است که به منظور ایجاد و تغییر هر نوع متنی طراحی شده است. Neovim نسخه بهبود یافته Vim است که دارای 30 درصد کد منبع کمتر و تجربه کاربری در آن بهبود یافته است.
آسیب‌پذیری نحوه مدیریت ویژگی modeline در ویرایشگر Vim را تحت تاثیر قرار می‌دهد. ویژگی modeline به کاربران اجازه می‌دهد تا گزینه‌های دلخواه در ابتدا و انتهای یک فایل تعیین کنند. این ویژگی به طور پیش فرض برای تمامی فایل‌ها فعال است. یک مهاجم می‌تواند کاربر را فریب دهد تا یک فایل دستکاری شده را در Vim یا Neovim باز کند که منجر به اجرای دستور در یک سیستم لینوکسی می‌شود. دو کد اثبات مفهومی (PoC) برای این آسیب‌پذیری منتشر شده است که توسط یکی از آن‌ها یک مهاجم با دسترسی از راه دور می‌تواند به یک shell معکوس دسترسی یابد.
تیم‌های توسعه Vim و Neovim به‌روزرسانی‌های مربوط به رفع آسیب‌پذیری CVE-2019-12735 را در نسخه‌های 8.1.1365 و 0.3.6 منتشر کرده‌اند. برای کاهش اثرات این نقص، کارشناسان توصیه می‌کنند تا ویژگی‌های modelines و modelineexpr غیرفعال شوند و از افزونه securemodelines استفاده شود.

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.