Se ha reportado un nuevo aviso de seguridad para múltiples vulnerabilidades que afectan a Vim de Ubuntu, que permitirían a un atacante realizar ejecución remota de código (RCE), denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 6 (seis) de severidad “alta”, 1 (uno) de severidad (media), y 6 (seis) de severidad baja. Las principales se detallan a continuación:
- CVE-2022-2342 de severidad alta, con una puntuación asignada de 7.8. La vulnerabilidad se debe a un error de límite en la función ins_compl_add(). Esto permitiría a un atacante remoto realizar ejecución remota de código (RCE) en el sistema.
- CVE-2022-2257 de severidad alta, con una puntuación asignada de 7.8. Esta vulnerabilidad se debe a un error en la condición límite de la función msg_outtrans_special(). Esto permitiría a un atacante remoto crear archivos especialmente diseñados para acceder al sistema y leer el contenido de la memoria en el sistema.
- CVE-2022-2285 de severidad alta, con una puntuación asignada de 7.8. Esta vulnerabilidad se debe a un desbordamiento de enteros en la función del_typebuf(). Esto permitiría a un atacante remoto realizar ejecución remota de código (RCE) en el sistema.
Para visualizar la lista detallada de las vulnerabilidades, ingresar a este enlace.
Los productos afectados son:
- Vim, versión 8.2.5168 y anteriores.
- Vim, versión 9.0.0008 y anteriores.
- Vim, versión 9.0.0010 y anteriores.
- Vim, versión 9.0.0016 y anteriores.
- Vim, versión 9.0.0017 y anteriores.
- Vim, versión 9.0.0019 y anteriores.
- Vim, versión 9.0.0020 y anteriores.
- Vim, versión 9.0.0024 y anteriores.
- Vim, versión 9.0.0025 y anteriores.
- Vim, versión 9.0.0034 y anteriores.
- Vim, versión 9.0.0044 y anteriores.
Recomendamos acceder a las actualizaciones proporcionadas por Vim en el siguiente enlace:
Referencias:
- https://www.cybersecurity-help.cz/vdb/SB2022071905
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2343
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22576
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2285
- https://github.com/vim/vim/commit/32acf1f1a72ebb9d8942b9c9d80023bf1bb668ea