Note du modérateur : comme d'hab, mettre à jour avec les nouveaux paquets fournis par l'équipe sécurité de votre distribution. J'ai rajouté les liens vers les 4 dernières références.
Aller plus loin
- L'exploit sur Neworder (13 clics)
- CVE CAN-2002-1377 (9 clics)
- Annonce BugTraq (8 clics)
- Annonce Full disclosure (3 clics)
- Annonce Guninski (3 clics)
# [DaEmacsBot]
Posté par kadreg . Évalué à -10.
[^] # Re: [DaEmacsBot]
Posté par fleny68 . Évalué à 4.
[^] # Re: [DaEmacsBot]
Posté par Vivi (site web personnel) . Évalué à 10.
« The `eval' "variable," and certain actual variables, create a
special risk; when you visit someone else's file, local variable
specifications for these could affect your Emacs in arbitrary ways.
Therefore, the option `enable-local-eval' controls whether Emacs
processes `eval' variables [ ... ]
The default is `maybe', which is neither `t' nor `nil', so normally Emacs
does ask for confirmation about file settings for these variables. »
[^] # Re: [DaEmacsBot]
Posté par PloufPlouf (site web personnel) . Évalué à 0.
soit 50% de vim & 50% emacs....
su on beau troll comme ca, le system de vote prend toute sa dimension ;-)
perso je suis vim hein...
--
plouf!
[^] # Re: [DaEmacsBot]
Posté par lorill (site web personnel) . Évalué à 1.
# triste
Posté par Tof . Évalué à -2.
Mais ça veut dire que des utilisateurs du libre, et des utilisateurs confirmés apparement, ont comme premier réflexe à la découverte d'une faille de l'exploiter malicieusement (même si là c'est pas trop méchant).
C'est dommage...
[^] # Re: triste
Posté par encre (site web personnel) . Évalué à 10.
[^] # Re: triste
Posté par Tof . Évalué à 2.
J'ai dit que c'était dommage que parmi les utilisateurs du libre il y ait des cons qui commencent à exploiter les failles ocmme ça, c'est tout. Y'a absolument pas de généralisation, Vim est libre, donc le type qu'a fait ça est une utilisateur de LL.
Et si je préferais la sécurité type 'autruche' je trainerais pas sur ce forum.
[^] # Re: triste
Posté par pasBill pasGates . Évalué à 10.
Des cons il y en a partout, et plus le nombre d'utilisateurs augmente, plus grand est le risque d'en avoir dans le groupe malheureusement.
[^] # Re: triste
Posté par nigaiden . Évalué à 1.
[^] # Re: triste
Posté par Gniarf . Évalué à -2.
c'est bizarre, un éditeur de texte avec exécution automatique de code au lancement, ça me rappelle Word...
en fait j'utilise vi à la place de vim chaque fois que possible, pas tellement à cause des effets "arbre de Noël" que je dois désactiver à chaque nouvelle installation mais parce que j'ai commencé sous vi-le-vrai, il y a si longtemps...
[^] # Re: triste
Posté par PLuG . Évalué à 7.
Parce que la coloration syntaxique ca a quand meme du bon !!
[maintenant, si tu utilise vi juste pour modifier /etc/hosts c'est sur que ca perd de son interet ...]
d'ailleur sous AIX maintenant les admins ont décidé de déployer RPM qui est fourni par IBM. Ensuite, ils pourront installer les packages produits par IBM pour tous ces outils inutiles donc indispensables: bash / vim / less / ...
[^] # Re: triste
Posté par B. franck . Évalué à 1.
oser télécharger les sources et recompiler ces outils.
[^] # Re: triste
Posté par Annah C. Hue (site web personnel) . Évalué à 4.
[^] # Re: triste
Posté par Gniarf . Évalué à 1.
et j'en oublie surement :)
[^] # Re: triste
Posté par Emmanuel BENOIT . Évalué à 4.
Fonctionnalité qui peut s'avérer fort utile néanmoins. Typiquement pour le HTML où il n'y a pas vraiment de moyen de limiter l'indentation, et où le niveau de celle-ci varie grandement d'un fichier à l'autre... Alors passer à chaque fois une minute à faire des :set ts= et :set sts= pour retrouver la taille de tab qui va bien, c'est pénible.
La seule chose que je leur reproche dans l'histoire c'est de ne pas avoir limité le jeu de commandes pouvant être exécuté via les modelines.
[^] # Re: triste
Posté par Thomas RIBO . Évalué à 10.
No other commands than "set" are supported, for security reasons (somebody might create a Trojan horse text file with modelines).
C'est bête, ça n'aura pas suffit.
# Correctif Debian
Posté par herge . Évalué à 10.
Il m'a répondu que l'équipe de sécurité Debian avait été trop occupée par la mise à jour de KDE pour poster le package mis à jour. A priori ça ne devrait plus trop tarder.
Pour une fois, Debian est à la bourre, RedHat ayant déjà corrigé la vulnérabilité il y a 2 semaines.
[^] # Re: Correctif Debian
Posté par Mathieu Pillard (site web personnel) . Évalué à 6.
[^] # Re: Correctif Debian
Posté par Emmanuel BENOIT . Évalué à 7.
[^] # Re: Correctif Debian
Posté par Guillaume ARTUS . Évalué à 3.
ls -la /etc/vim/vimrc
-rw-r--r-- 1 root root 2488 2002-11-28 19:34 /etc/vim/vimrc
grep -B 6 modeline /etc/vim/vimrc
" Configuration file for vim
" Prevent modelines in files from being evaluated (avoids a potential
" security problem wherein a malicious user could write a hazardous
" modeline into a file) (override default value of 5)
set modelines=0
Bref "correction" datant du 28 Nov 2002 ;-)
Debian ... une longueur d'avance ?
# Re: Un ver pour VIM
Posté par ogallos . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.