Vim本地整数溢出漏洞

CVE编号

CVE-2017-6350

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-02-27

漏洞描述

Vim是一款开源的、可配置的用于创建和更改任何类型文本的文本编辑器，它可在大多数UNIX和AppleOSX中使用。
Vim存在本地整数溢出漏洞。由于程序未能充分限制检查用户提供的数据，攻击者可以利用漏洞在受影响的应用程序的上下文中执行任意代码。失败的漏洞尝试可能会导致拒绝服务条件。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页:
https://groups.google.com/forum/#%21topic/vim_dev/QPZc0CY9j3Y

参考链接
http://www.securityfocus.com/bid/96448
http://www.securitytracker.com/id/1037949
https://github.com/vim/vim/commit/0c8485f0e4931463c0f7986e1ea84a7d79f10c75
https://groups.google.com/forum/#!topic/vim_dev/L_dOHOOiQ5Q
https://groups.google.com/forum/#!topic/vim_dev/QPZc0CY9j3Y
https://security.gentoo.org/glsa/201706-26
https://usn.ubuntu.com/4309-1/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	vim	vim	*		Up to (including) 8.0.0377
	运行在以下环境
	系统	alpine_3.10	vim	*		Up to (excluding) 8.0.1521-r0
	运行在以下环境
	系统	alpine_3.11	vim	*		Up to (excluding) 8.0.1521-r0
	运行在以下环境
	系统	alpine_3.12	vim	*		Up to (excluding) 8.0.1521-r0
	运行在以下环境
	系统	alpine_3.13	vim	*		Up to (excluding) 8.0.1521-r0
	运行在以下环境
	系统	alpine_3.14	vim	*		Up to (excluding) 8.0.1521-r0
	运行在以下环境
	系统	alpine_3.15	vim	*		Up to (excluding) 8.0.1521-r0
	运行在以下环境
	系统	alpine_3.6	vim	*		Up to (excluding) 0.2.0-r0
	运行在以下环境
	系统	alpine_3.7	vim	*		Up to (excluding) 0.2.0-r0
	运行在以下环境
	系统	alpine_3.8	vim	*		Up to (excluding) 8.0.1521-r0
	运行在以下环境
	系统	alpine_3.9	vim	*		Up to (excluding) 8.0.1521-r0
	运行在以下环境
	系统	alpine_edge	vim	*		Up to (excluding) 0.2.0-r0
	运行在以下环境
	系统	amazon_AMI	vim	*		Up to (excluding) 8.0.0503-1.45.amzn1
	运行在以下环境
	系统	debian_7	vim	*		Up to (excluding) 2:7.3.547-7+deb7u3
	运行在以下环境
	系统	debian_8	vim	*		Up to (excluding) 2:7.4.488-7+deb8u3
	运行在以下环境
	系统	fedora_24	vim	*		Up to (excluding) 8.0.386-1.fc24
	运行在以下环境
	系统	fedora_25	vim	*		Up to (excluding) 8.0.386-1.fc25
	运行在以下环境
	系统	opensuse_Leap_42.2	vim	*		Up to (excluding) 7.4.326-10.3.1
	运行在以下环境
	系统	suse_12_SP2	vim	*		Up to (excluding) 7.4.326-16.1
	运行在以下环境
	系统	ubuntu_14.04	vim	*		Up to (excluding) 2:7.4.052-1ubuntu3.1+esm1
	运行在以下环境
	系统	ubuntu_16.04	vim	*		Up to (excluding) 2:7.4.1689-3ubuntu1.4

攻击路径远程
攻击复杂度复杂
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 100

CWE-ID 漏洞类型 CWE-190 整数溢出或超界折返

正文

Vim本地整数溢出漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

NetApp Data ONTAP信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]