vimo pacote mais recente para Ubuntu 16/18 é vulnerável a modeline?
Eu tenho dois servidores de produção baseados em Ubuntu, um tem 18.04.2 LTS e o outro tem 16.04.6 LTS.
Nem apt-get upgrademostrou apt-get dist-upgradenenhum novo lançamento para o vim.
O pacote mais recente é 7.4 no Ubuntu 16 e 8.0 no Ubuntu 18.
Alguma sugestão?
fonte:https://www.reddit.com/r/vim/comments/bwp7q3/code_execution_vulnerability_in_vim_811365_and/
Responder1
Ainda não existe um pacote de atualização do vim na versão de distribuição que você mencionou. Você pode desabilitar o modeline fazendo, :set modelinedepois de abrir o vim, também usar o securemodelineplugin ou baixar e compilar o vim do repositório do github, esse bug foi corrigido 19 dias atrás.
Responder2
como solução alternativa, basta executar este comando usando root:
echo -e "set modelines=0\nset nomodeline" >> /etc/vim/vimrc
isso desabilitaria o modeline.
O que é uma modeline de novo?
Uma string como /* vim: set textwidth=80 tabstop=8: */ no início ou no final de um arquivo que diz ao Vim para definir opções específicas.