ГлавнаяБаза уязвимостей БДУ → BDU:2019-03251
7.2высокая

BDU:2019-03251

Уязвимость библиотеки getchar.c текстового редактора Vim, связанная с отсутствием мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2019-09-19
Описание

Уязвимость библиотеки getchar.c текстового редактора Vim связана с отсутствием фильтрации команды «!source», которая позволяет выполнять произвольные команды в операционной системе. Эксплуатация уязвимости позволяет нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.5 «Смоленск»)Red Hat Enterprise Linux (6)Red Hat Enterprise Linux (7)Ubuntu (16.04 LTS)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Ubuntu (18.04 LTS)Ubuntu (18.10)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)Ubuntu (19.04)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Debian GNU/Linux (10)vim (до 8.1.1365)Red Hat Enterprise Linux (7.4 Extended Update Support)Red Hat Enterprise Linux (7.5 Extended Update Support)РЕД ОС (7.1 МУРОМ)neovim (до 0.3.6)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)ROSA Virtualization 3.0 (3.0)
Способ устранения

Использование рекомендаций:
Для vim и neovim:
https://github.com/vim/vim/commit/53575521406739cf20bbe4e384d88e7dca11f040
https://github.com/neovim/neovim/pull/10082/commits/5e611f32841e746932fbcbea292ca502ed9e694b

Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=57444186
https://wiki.astralinux.ru/pages/viewpage.action?pageId=41192827
https://wiki.astralinux.ru/astra-linux-se15-bulletin-20201201SE15

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2019:1619

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2BMDSHTF754TITC6AQJPCS5IRIDMMIM7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TRIRBC2YRGKPAWVRMZS4SZTGGCVRVZPR/

Для Ubuntu:
https://usn.ubuntu.com/4016-1/
https://usn.ubuntu.com/4016-2/

Для Debian GNU/Linux:
https://www.debian.org/security/2019/dsa-4467
https://www.debian.org/security/2019/dsa-4487

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00031.html
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00036.html
https://lists.opensuse.org/opensuse-security-announce/2019-06/msg00037.html
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00034.html
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00050.html
https://lists.opensuse.org/opensuse-security-announce/2019-07/msg00050.html

Для ООО "РЕД СОФТ" РЕД ОС 7.1 МУРОМ:
Обновление vim и neovim до актуальной версии

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2720

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://github.com/vim/vim/commit/53575521406739cf20bbe4e384d88e7dca11f040https://github.com/neovim/neovim/pull/10082/commits/5e611f32841e746932fbcbea292ca502ed9e694bhttps://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.mdhttps://access.redhat.com/errata/RHSA-2019:1619https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2BMDSHTF754TITC6AQJPCS5IRIDMMIM7/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/TRIRBC2YRGKPAWVRMZS4SZTGGCVRVZPR/https://usn.ubuntu.com/4016-1/https://usn.ubuntu.com/4016-2/
Проверьте безопасность своего сайта и почты → Полная проверка домена