Уязвимост във Vim, която води до изпълнение на код при отваряне на злонамерен файл

В текстови редактори Vim и Неовим намерено уязвимост (CVE-2019 12735-), което позволява произволен код да бъде изпълнен при отваряне на специално проектиран файл. Проблемът възниква, когато режимът на моделиране по подразбиране („:set modeline“) е активен, което ви позволява да дефинирате опции за редактиране в обработения файл. Уязвимостта е коригирана в версиите
Vim 8.1.1365 и Neovim 0.3.6.

Само ограничен брой опции могат да бъдат инсталирани чрез modeline. Ако даден израз е указан като стойност на опция, той се изпълнява в режим на пясъчна среда, който позволява само най-простите безопасни операции. В този случай валидната команда включва командата “:source”, в която можете да използвате модификатора “!”. за изпълнение на произволни команди от посочения файл. По този начин, за да изпълните кода, е достатъчно да посочите в реда на modelline конструкция като „set foldexpr=execute('\:source! some_file'):". В Neovim извикването на execute е забранено, но вместо това може да се използва assert_fails.

Например, за да изпълните командата „uname -a“, просто отворете файл във Vim или Neovim, чийто първи или последен ред казва:

:!uname -a||» vi:fen:fdm=expr:fde=assert_fails(“source\!\ \%”):fdl=0:fdt=”

Фирма „източник! %" ще прочете командите от текущия файл и съответно ще изпълни ":!uname -a". Escape последователностите могат да се използват за скриване на даден ред от изхода от помощната програма cat. Например в това експлоатационен прототип при отваряне на файл във vim се създава мрежова връзка с достъп до системата на жертвата, но този файл няма да предизвика подозрение, когато се извежда към терминала с помощната програма cat.

Можете да проверите активността на режима modeline с командата “:set modeline?”. За да го деактивирате, можете да добавите реда „set nomodeline“ към vimrc. В дистрибуциите проблемът е решен в RHEL, SUSE/openSUSE, Fedora, FreeBSD, Ubuntu, Arch Linux и ALT. Уязвимостта остава неотстранена Debian (в Debian modeline е деактивиран по подразбиране, така че уязвимостта не се появява в състояние по подразбиране).

Източник: opennet.ru