Ubuntu corrige de multiples vulnérabilités dans Vim
Récemment, Canonical a publié des mises à jour de sécurité pour corriger plusieurs vulnérabilités de Vim dans Ubuntu 14.04 ESM. Ubuntu 14.04, nom de code "Trusty Tahr", a atteint sa fin de vie (EOL) le 30 avril 2019. Après cette date, Canonical a cessé de fournir des mises à jour officielles, y compris des correctifs de sécurité, pour cette version. Cependant, certains utilisateurs et organisations continuent de s'appuyer sur des versions plus anciennes comme Ubuntu 14.04 en raison de dépendances logicielles héritées, de préoccupations en matière de stabilité ou de contraintes de coûts liées à la mise à niveau.
Aperçu des vulnérabilités de Vim
Ces vulnérabilités corrigées dans Ubuntu 14.04 ESM ont été découvertes et corrigées en 2021. Cependant, Ubuntu 14.04 n'a pas reçu de mises à jour de sécurité à ce moment-là parce qu'elle avait déjà dépassé sa fin de vie.
Cette vulnérabilité est liée à la gestion des noms de fichiers par Vim dans le cadre de sa fonctionnalité de recherche. Si un attaquant incite un utilisateur à ouvrir un fichier spécialement conçu, Vim peut se bloquer, entraînant un déni de service.
Cette vulnérabilité implique une mauvaise gestion de la mémoire lorsque Vim ouvre et recherche le contenu de certains fichiers. Comme pour la CVE-2021-3973, l'ouverture d'un fichier malveillant peut entraîner un déni de service. De plus, dans ce cas, un attaquant pourrait potentiellement exécuter du code avec les privilèges de l'utilisateur, ce qui pose un risque de sécurité plus important.
CVE-2021-3984, CVE-2021-4019, CVE-2021-4069
Ces vulnérabilités proviennent également d'une mauvaise gestion de la mémoire. Elles peuvent être déclenchées lors de l'ouverture ou de la modification de certains types de fichiers dans Vim. Si elles sont exploitées, un attaquant peut faire planter l'application ou, pire, exécuter du code arbitraire avec les mêmes privilèges que l'utilisateur exécutant Vim.
Protéger vos charges de travail Ubuntu 14.04
Compte tenu des risques potentiels, il est crucial de patcher ces vulnérabilités pour tous ceux qui utilisent encore Ubuntu 14.04. Même si le support officiel a pris fin en 2019, Canonical propose une maintenance de sécurité étendue (ESM) par le biais d'Ubuntu Pro. L'ESM fournit des mises à jour de sécurité continues au-delà de la date EOL, permettant aux utilisateurs de continuer à utiliser les anciennes versions d'Ubuntu en toute sécurité.
Option alternative de soutien prolongé
Si le service ESM d'Ubuntu Pro offre une bouée de sauvetage à ceux qui utilisent des versions obsolètes d'Ubuntu, ce n'est pas la seule option disponible. Pour les organisations qui utilisent d'autres anciennes versions de Linux, telles que CentOS 6, 7 et 8, CentOS Stream 8, Oracle Linux 6 et 7, et Ubuntu 16.04 et 18.04, le service Extended Lifecycle Support (ELS) de TuxCare constitue une solution abordable. ELS offre jusqu'à cinq ans de correctifs de sécurité après la date EOL et couvre plus de 140 paquets, y compris le noyau Linux, Vim, Python, OpenSSL, glibc, OpenJDK, et plus encore.
Les vulnérabilités de Vim mentionnées ci-dessus affectent également CentOS 6, Oracle Linux 6, CloudLinux 6 et Ubuntu 16.04. L'équipe ELS a déjà publié des correctifs pour ces distributions Linux en fin de vie. Vous pouvez suivre l'état de publication de toutes les vulnérabilités dans le CVE tracker.
Posez-nous une question pour en savoir plus sur la manière dont l'Extended Lifecycle Support garantit la sécurité de votre environnement Linux, même lorsque vous utilisez des distributions en fin de vie.
Source : USN-6965-1