Vim-Sicherheitslücken in Ubuntu-Sicherheitsupdates behoben
Die jüngsten Ubuntu-Sicherheitsupdates haben 13 Sicherheitslücken im Vim-Paket geschlossen. Canonical hat Updates für verschiedene Ubuntu-Versionen veröffentlicht, darunter Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM und Ubuntu 14.04 ESM. In diesem Blog werden wir uns einige der Vim-Schwachstellen ansehen, die mit dem Update gepatcht wurden.
Mehrere Vim-Schwachstellen behoben
CVE-2022-3234
CVSS 3.x Ergebnis: 7.8 (Hoch)
Vim behandelte Speicher nicht korrekt, wenn er im Virtualedit-Modus ersetzt wurde, was zu einem Heap-basierten Pufferüberlauf führte. Ein Angreifer kann dies nutzen, um einen Denial-of-Service auszulösen. Nur Ubuntu 18.04 LTS, Ubuntu 20.04 LTS und Ubuntu 22.04 LTS sind betroffen.
CVE-2022-3256
CVSS 3.x Bewertung: 7.8 Hoch
Es wurde festgestellt, dass Vim den Speicher nicht korrekt behandelt, wenn autocmd die Markierung ändert. Ein Angreifer kann diesen Use-after-free-Fehler ausnutzen, um einen Denial-of-Service zu verursachen.
CVE-2022-3324
CVSS 3.x Bewertung: 7.8 Hoch
Vim führte keine korrekten Überprüfungen des Array-Indexes mit einem Fenster negativer Breite durch. Ein Angreifer kann diese Stack-basierte Pufferüberlauf-Schwachstelle benutzen, um einen Denial-of-Service zu verursachen oder beliebigen Code auszuführen.
CVE-2022-3520
CVSS 3.x Score: 9.8 Kritisch
Es wurde entdeckt, dass Vim die Überprüfungen einer put-Befehlsspalte mit einem visuellen Block nicht richtig durchführte. Ein Angreifer könnte möglicherweise dieses Heap-basierte Pufferüberlauf-Problem nutzen, um einen Denial-of-Service zu verursachen. Ubuntu 20.04 LTS und Ubuntu 22.04 LTS sind nur betroffen.
CVE-2022-3591
CVSS 3.x Bewertung: 7.8 Hoch
Vim handhabte den Speicher nicht korrekt, wenn er autocommand zum Öffnen eines Fensters verwendete. Ein Angreifer kann diesen Use-after-free-Fehler nutzen, um einen Denial-of-Service zu verursachen.
CVE-2022-3705
CVSS 3.x Bewertung: 7.5 Hoch
Eine Sicherheitslücke wurde in Vim entdeckt und als problematisch eingestuft. Dieses Problem betrifft die Funktion qf_update_buffer innerhalb der Datei quickfix.c der autocmd Handler Komponente. Die Ausnutzung dieser Schwachstelle kann zu einer Use-after-free-Bedingung führen, und sie kann aus der Ferne ausgenutzt werden. Ein potenzieller Angreifer könnte diese Schwachstelle ausnutzen, um einen Denial-of-Service zu initiieren. Es ist wichtig zu beachten, dass dieses Problem nur Ubuntu 20.04 LTS und Ubuntu 22.04 LTS betrifft.
CVE-2022-4293
CVSS 3.x Wertung: 5.5 Mittel
Vim behandelte Fließkomma-Vergleiche mit der falschen Operation nicht korrekt, was zu einem Fließkomma-Ausnahme-Fehler führte. Ein Angreifer kann dieses Problem nutzen, um einen Denial-of-Service zu verursachen. Ubuntu 20.04 LTS und Ubuntu 22.04 LTS sind nur betroffen.
TuxCare hat bereits Patches für diese Sicherheitslücken veröffentlicht, die verschiedene EOL-Linux-Distributionen betreffen. Erfahren Sie mehr über Extended Lifecycle Support für End-of-Life Linux.
Abschließende Überlegungen
Es wird dringend empfohlen, das System auf neuere Paketversionen zu aktualisieren, um diese Vim-Schwachstellen zu beheben. Nach der Systemaktualisierung ist ein Neustart erforderlich.
Um Patches ohne einen Systemneustart anzuwenden, können Sie KernelCare Enterprise von TuxCare verwenden, das eine automatisierte Live-Patching-Lösung zur Anwendung von Sicherheitsupdates auf Linux-Systemen bietet. Erfahren Sie, wie Live-Patching mit KernelCare funktioniert.
Die Quellen für diesen Artikel finden Sie unter Ubuntu Security Notices.