2019-1154: Vim, Neovim: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-06-07 16:59)

Neues Advisory

Version 2 (2019-06-11 18:17)

Für die SUSE Linux Enterprise Produkte Desktop 12 SP3 und 12 SP4, Module for Basesystem und Module for Desktop Applications jeweils in Version 15 und 15 SP1, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 LTSS, 12 SP2 BCL, 12 SP3 und 12 SP4, Server for SAP 12 SP1 und 12 SP2, OpenStack Magnum 7, SUSE OpenStack Cloud 7 und SUSE Enterprise Storage 4 sowie SUSE Container-as-a-Service (CaaS) Platform 3.0 und ALL stehen Sicherheitsupdates für 'vim' bereit, um die Schwachstelle zu beheben.

Version 3 (2019-06-11 18:26)

Für SUSE Linux Enterprise Server 11 SP4 LTSS und Debuginfo 11 SP4 stehen ebenfalls Sicherheitsupdates für 'vim' zur Behebung der Schwachstelle bereit.

Version 4 (2019-06-14 11:02)

Für openSUSE Leap 42.3, 15.0 und 15.1 sowie für openSUSE Backports SLE 15 stehen Sicherheitsupdates für 'neovim' zur Behebung der Schwachstelle bereit.

Version 5 (2019-06-18 11:31)

openSUSE veröffentlicht für die Distributionen openSUSE Leap 42.3, openSUSE Leap 15.0 und openSUSE Leap 15.1 jetzt auch Sicherheitsupdates für 'vim', um die Schwachstelle zu beheben.

Version 6 (2019-06-19 14:45)

Für die stabile Distribution Debian Stretch (9.9) steht ein Sicherheitsupdate für 'vim' auf die Version 8.0.0197-4+deb9u2 bereit.

Version 7 (2019-06-27 13:05)

Red Hat veröffentlicht für die Red Hat Enterprise Linux Produktvarianten Server 7, 7.6 AUS, 7.6 EUS und 7.6 TUS, Linux for x86_64 8 und for ARM 64 8, Workstation 7, Desktop 7, Scientific Computing 7, EUS Compute Node (HPC Node) 7.6, Linux for ARM 64 7 sowie Red Hat Virtualization Host 4 und Virtualization Host - Extended Update Support 4.2 for RHEL 7.6 Sicherheitsupdates für 'vim' zur Behebung der Schwachstelle.

Version 8 (2019-06-28 12:02)

Oracle stellt für Oracle Linux 7 (x86_64) Sicherheitsupdates für Vim zur Verfügung, um die Schwachstelle zu beheben.

Version 9 (2019-07-16 11:35)

Für Red Hat Enterprise Linux 6 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'vim' bereit. Die Updates stehen damit unter anderem für Red Hat Enterprise Linux Desktop, Server und Workstation 6 sowie für Red Hat Enterprise Linux for Scientific Computing 6 zur Verfügung.

Version 10 (2019-07-17 12:11)

Red Hat stellt für Red Hat Enterprise Linux EUS Compute/HPC Node 7.5 ein Sicherheitsupdate für Vim bereit, um die Schwachstelle zu beheben.

Version 11 (2019-07-19 11:17)

Für Oracle Linux 6 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'vim' bereit.

Version 12 (2019-07-22 11:32)

Für openSUSE Leap 15.0 und openSUSE Leap 15.1 stehen Sicherheitsupdates auf die Neovim Version 0.3.7 zur Verfügung, um die Schwachstelle zu beheben.

Version 13 (2019-07-24 12:06)

Für openSUSE Backports SLE 15 steht ebenfalls ein neues Sicherheitsupdate für 'neovim' bereit, mit dem die Software auf Version 0.3.7 aktualisiert wird.

Version 14 (2019-07-24 13:18)

Für Debian Stretch (stable) steht jetzt auch für 'neovim' ein Sicherheitsupdate zur Behebung der Schwachstelle bereit.

Version 15 (2019-07-30 17:54)

Red Hat veröffentlicht für Red Hat Enterprise Linux Server AUS, EUS und TUS 7.4 sowie EUS Compute Node 7.4 Sicherheitsupdates für 'vim', um die referenzierte Schwachstelle zu beheben.

Version 16 (2019-08-06 13:36)

In dem Oracle Linux Security Advisory ELSA-2019-1619 werden jetzt auch Sicherheitsupdates für Oracle Linux 8 (aarch64, x86_64) für Vim aufgeführt.

Version 17 (2019-08-26 12:31)

Für openSUSE Backports SLE 15 SP1 steht ebenfalls ein neues Sicherheitsupdate für 'neovim' bereit, mit dem die Software auf Version 0.3.7 aktualisiert wird.

Betroffene Software

Entwicklung

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Oracle
Virtualisierung

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, um beliebigen Programmcode auszuführen.

Für Vim und Neovim stehen Sicherheitsupdates auf die Versionen 8.1.1365 und 0.3.6 bereit, um die Schwachstelle zu beheben.

Zusätzlich wird empfohlen, die 'modelines'-Funktionalität ('set nomodeline') zu deaktivieren, das 'securemodelines'-Plugin zu nutzen oder 'modelineexpr' (seit Patch 8.1.1366 in Vim) zu deaktivieren.

Für Fedora 29 und 30 stehen Sicherheitsupdates in Form des Paketes 'vim-8.1.1471-1' im Status 'tetsing' bereit, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2019-12735

Schwachstelle in Vim und Neovim ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.