vimUbuntu 16/18 的最新軟體包是否容易受到此漏洞的影響modeline?
我有兩台基於 ubuntu 的生產伺服器,一台有 18.04.2 LTS,另一台有 16.04.6 LTS。
apt-get upgrade也沒有apt-get dist-upgrade顯示任何 vim 的新版本。
Ubuntu 16 上的最新軟體包是 7.4,Ubuntu 18 上的最新軟體包是 8.0。
有什麼建議麼?
原始碼:https://www.reddit.com/r/vim/comments/bwp7q3/code_execution_vulnerability_in_vim_811365_and/
答案1
你提到的發行版本還沒有 vim 更新套件。你可以透過:set modeline開啟 vim 後也使用該securemodeline外掛程式來停用 modeline 或從 github 儲存庫下載並編譯 vim,此錯誤已於 19 天前修復。
答案2
作為解決方法,只需使用 root 執行此命令:
echo -e "set modelines=0\nset nomodeline" >> /etc/vim/vimrc
這將禁用模型行。
模型線又是什麼?
像 /* vim: set textwidth=80 tabstop=8: */ 這樣的字串位於檔案的開頭或結尾,告訴 Vim 設定特定選項。