Vulnerabilidades de Vim abordadas en las actualizaciones de seguridad de Ubuntu
Las recientes actualizaciones de seguridad de Ubuntu han solucionado 13 vulnerabilidades en el paquete Vim. Canonical ha publicado actualizaciones para diferentes versiones de Ubuntu, incluyendo Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 ESM y Ubuntu 14.04 ESM. En este blog, veremos algunas de las vulnerabilidades de Vim que han sido parcheadas en la actualización.
Corregidas varias vulnerabilidades de Vim
CVE-2022-3234
Puntuación CVSS 3.x: 7,8 (Alta)
Vim no manejaba correctamente la memoria al sustituirla en modo virtualedit, lo que provocaba un desbordamiento de búfer basado en heap. Un atacante puede utilizar esto para causar una denegación de servicio. Ubuntu 18.04 LTS, Ubuntu 20.04 LTS y Ubuntu 22.04 LTS son los únicos afectados.
CVE-2022-3256
Puntuación CVSS 3.x: 7,8 Alta
Se descubrió que Vim no manejaba correctamente la memoria cuando autocmd cambia de marca. Un atacante puede utilizar este defecto de uso después de libre para causar una denegación de servicio.
CVE-2022-3324
Puntuación CVSS 3.x: 7,8 Alta
Vim no realizaba correctamente las comprobaciones del índice de matriz con la ventana de ancho negativo. Un atacante puede utilizar esta vulnerabilidad de desbordamiento de búfer basada en pila para provocar una denegación de servicio o ejecutar código arbitrario.
CVE-2022-3520
Puntuación CVSS 3.x: 9,8 Crítico
Se descubrió que Vim no realizaba correctamente las comprobaciones de una columna de comandos put con un bloque visual. Un atacante podría utilizar este problema de desbordamiento de búfer basado en heap para provocar una denegación de servicio. Ubuntu 20.04 LTS y Ubuntu 22.04 LTS son los únicos afectados.
CVE-2022-3591
Puntuación CVSS 3.x: 7,8 Alta
Vim no manejaba correctamente la memoria al utilizar autocommand para abrir una ventana. Un atacante puede utilizar este defecto de uso después de la liberación para provocar una denegación de servicio.
CVE-2022-3705
Puntuación CVSS 3.x: 7,5 Alta
Se ha detectado una vulnerabilidad en Vim y se ha clasificado como problemática. Este problema se refiere a la función qf_update_buffer dentro del archivo quickfix.c del componente autocmd Handler. La explotación de esta vulnerabilidad puede dar lugar a una condición use-after-free, y puede ser explotada remotamente. Un atacante potencial podría aprovechar esta vulnerabilidad para iniciar una denegación de servicio. Es importante señalar que este problema sólo afecta a Ubuntu 20.04 LTS y Ubuntu 22.04 LTS.
CVE-2022-4293
Puntuación CVSS 3.x: 5.5 Media
Vim no manejaba correctamente la comparación de coma flotante con la operación incorrecta, lo que provocaba un fallo de excepción de coma flotante. Un atacante puede utilizar este problema para causar una denegación de servicio. Ubuntu 20.04 LTS y Ubuntu 22.04 LTS son los únicos afectados.
TuxCare ya ha publicado parches para estas vulnerabilidades que afectan a diferentes distribuciones de Linux EOL. Más información sobre el soporte extendido del ciclo de vida para Linux End-of-Life.
Reflexiones finales
Se recomienda encarecidamente actualizar el sistema a versiones más recientes de los paquetes para solucionar estas vulnerabilidades de Vim. Será necesario reiniciar el sistema después de la actualización.
Para aplicar los parches sin reiniciar el sistema, puede considerar el uso de KernelCare Enterprise de TuxCare, que proporciona una solución automatizada de aplicación de parches en vivo para aplicar actualizaciones de seguridad a los sistemas Linux. Descubra cómo funciona la aplicación de parches en vivo con KernelCare.
Las fuentes de este artículo se pueden encontrar en Ubuntu Security Notices.