vim¿Es vulnerable el último paquete para Ubuntu 16/18 modeline?
Tengo dos servidores de producción basados en Ubuntu, uno tiene 18.04.2 LTS y el otro tiene 16.04.6 LTS.
Ni apt-get upgradeni apt-get dist-upgrademostró nuevos lanzamientos para vim.
El último paquete es 7.4 en Ubuntu 16 y 8.0 en Ubuntu 18.
¿Alguna sugerencia?
origen:https://www.reddit.com/r/vim/comments/bwp7q3/code_execution_vulnerability_in_vim_811365_and/
Respuesta1
Todavía no hay ningún paquete de actualización de vim en la versión de distribución que mencionas. Puede deshabilitar modeline haciendo que :set modelineuna vez que abra vim también use el securemodelinecomplemento o descargue y compile vim desde el repositorio de github; este error se solucionó hace 19 días.
Respuesta2
Como solución alternativa, simplemente ejecute este comando usando root:
echo -e "set modelines=0\nset nomodeline" >> /etc/vim/vimrc
esto deshabilitaría Modeline.
¿Qué es una modelina?
Una cadena como /* vim: set textwidth=80 tabstop=8: */ al principio o al final de un archivo que le dice a Vim que configure opciones particulares.