vimуязвим ли последний пакет для Ubuntu 16/18 modeline?
У меня есть два рабочих сервера на базе Ubuntu, на одном установлена 18.04.2 LTS, а на другом — 16.04.6 LTS.
Ни один из них apt-get upgradeне apt-get dist-upgradeпоказал никаких новых релизов для vim.
Последняя версия пакета — 7.4 на Ubuntu 16 и 8.0 на Ubuntu 18.
Какие-либо предложения?
Источник:https://www.reddit.com/r/vim/comments/bwp7q3/code_execution_vulnerability_in_vim_811365_and/
решение1
Пока нет пакета обновления vim для версии дистрибутива, которую вы упомянули. Вы можете отключить modeline, выполнив команду :set modelineпосле открытия vim, а также использовать securemodelineплагин или загрузить и скомпилировать vim из репозитория github, эта ошибка была исправлена 19 дней назад.
решение2
В качестве обходного пути просто выполните эту команду, используя root:
echo -e "set modelines=0\nset nomodeline" >> /etc/vim/vimrc
это отключит модель.
Что такое модель?
Строка вида /* vim: set textwidth=80 tabstop=8: */ в начале или конце файла, сообщающая Vim о необходимости установить определенные параметры.