RSS-Beitrag

begleitendes Bild

11.06.2019 - 09:38:47

Sicherheitslücke in Vim und Neovim erlaubt Ausführung beliebiger Befehle

Die unter Linux verbreiteten Editoren Vim und Neovim erlauben über modelines in den zu bearbeitenden Dateien das Setzen von Editor-Optionen.
Aus Sicherheitsgründen werden diese Befehle in einer Sandbox ausgeführt.
Sicherheitsforschern ist es nun gelungen, aus der Sandbox auszubrechen und beliebige Befehle auszuführen.
Die Lücken sind in den Versionen VIM 8.1.1365 und in Neovim 0.3.6 behoben.
Bis zur Installation der Updates sollte das Modeline-Feature deaktiviert werden.
Details gibt es unter https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md