Идентификатор: BDU:2023-00069.
Наименование уязвимости: Уязвимость функции msg_puts_printf() (message.c) текстового редактора Vim, позволяющая нарушителю выполнить произвольный код в целевой системе.
Описание уязвимости: Уязвимость функции msg_puts_printf() (message.c) текстового редактора Vim связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код в целевой системе
Уязвимое ПО: Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ФССП России ОС ТД АИС ФССП России ИК6 | Операционная система АО «ИВК» Альт 8 СП – | Прикладное ПО информационных систем vim до 9.0.1144 |
Наименование ОС и тип аппаратной платформы: РЕД ОС 73 | ОС ТД АИС ФССП России ИК6 | Альт 8 СП – |
Дата выявления: 05.01.2023.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению:
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Vim:
https://github.com/vim/vim/commit/c32949b0779106ed5710ae3bffc5053e49083ab4
Для ОС ТД АИС ФССП России: Обновление программного средства до актуальной версии
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-0051.
Тип ошибки CWE: CWE-122
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://redos.red-soft.ru/support/secure/
https://github.com/vim/vim/commit/c32949b0779106ed5710ae3bffc5053e49083ab4
https://huntr.dev/bounties/1c8686db-baa6-42dc-ba45-aed322802de9
https://altsp.su/obnovleniya-bezopasnosti/
