vimUbuntu 16/18 の最新パッケージは脆弱ですかmodeline?
私は Ubuntu ベースの本番サーバーを 2 台持っています。1 台には 18.04.2 LTS がインストールされており、もう 1 台には 16.04.6 LTS がインストールされています。
どちらも、vim の新しいリリースを示しapt-get upgradeませんでした。apt-get dist-upgrade
最新パッケージは、Ubuntu 16 では 7.4、Ubuntu 18 では 8.0 です。
助言がありますか?
ソース:https://www.reddit.com/r/vim/comments/bwp7q3/code_execution_vulnerability_in_vim_811365_and/
答え1
あなたが言及したディストリビューション バージョンにはまだ vim 更新パッケージはありません。vim を:set modeline開いてsecuremodelineプラグインを使用するか、github リポジトリから vim をダウンロードしてコンパイルすることで、modeline を無効にすることができます。このバグは 19 日前に修正されました。
答え2
回避策としては、root を使用して次のコマンドを実行します。
echo -e "set modelines=0\nset nomodeline" >> /etc/vim/vimrc
これにより、モードラインが無効になります。
モデリーンって何ですか?
ファイルの先頭または末尾にある /* vim: set textwidth=80 tabstop=8: */ のような文字列は、Vim に特定のオプションを設定するように指示します。