Un ver pour VIM

Posté par  (site web personnel) . Modéré par Benoît Sibaud.
Étiquettes :
0
28
jan.
2003
Sécurité
L'ouverture d'un fichier texte sous VIM peut déclencher l'exécution d'un code malicieux. Cet exploit posté mardi dernier sur neworder et mis en forme pour réaliser un ver, peut être évité en ajoutant la ligne "set modelines=0" dans votre .vimrc.

Note du modérateur : comme d'hab, mettre à jour avec les nouveaux paquets fournis par l'équipe sécurité de votre distribution. J'ai rajouté les liens vers les 4 dernières références.

Aller plus loin

  • # [DaEmacsBot]

    Posté par  . Évalué à -10.

    C'est pas avec emacs que ça arriverais un truc pareil
    • [^] # Re: [DaEmacsBot]

      Posté par  . Évalué à 4.

      C'est marrant la news sur neworder dit le contraire.
      • [^] # Re: [DaEmacsBot]

        Posté par  (site web personnel) . Évalué à 10.

        ben ils ont tord car par défaut, Emacs demande avant d'executer ces machins-là. Coupier-coller de la doc :

        « The `eval' "variable," and certain actual variables, create a
        special risk; when you visit someone else's file, local variable
        specifications for these could affect your Emacs in arbitrary ways.
        Therefore, the option `enable-local-eval' controls whether Emacs
        processes `eval' variables [ ... ]
        The default is `maybe', which is neither `t' nor `nil', so normally Emacs
        does ask for confirmation
        about file settings for these variables. »
    • [^] # Re: [DaEmacsBot]

      Posté par  (site web personnel) . Évalué à 0.

      au moment ou j'ecris ce commentaire, ton message est a -17/36

      soit 50% de vim & 50% emacs....
      su on beau troll comme ca, le system de vote prend toute sa dimension ;-)

      perso je suis vim hein...

      --
      plouf!
  • # triste

    Posté par  . Évalué à -2.

    C'est triste ça... Pas pour vim, c'est pas le premier soft à permettre un exploit de ce genre.
    Mais ça veut dire que des utilisateurs du libre, et des utilisateurs confirmés apparement, ont comme premier réflexe à la découverte d'une faille de l'exploiter malicieusement (même si là c'est pas trop méchant).

    C'est dommage...
    • [^] # Re: triste

      Posté par  (site web personnel) . Évalué à 10.

      Je ne comprends pas trop ta reaction... J'ai lu "l'exploit" sur neworder, et je ne vois pas pourquoi tu dis que les utilisateurs du libre (bizarre generalisation) veulent systematiquement exploiter les failles. Tu preferes sans doute la securite par l'obscurite, ou personne n'aurait avoue avoir trouve ce bug et savoir l'exploiter? Desole mais ce n'est pas la philosophie du libre... La au moins la demarche corrective est indiquee, et en plus c'est publie sur bugtraq et autres, bref, c'est la demarche a suivre.
      • [^] # Re: triste

        Posté par  . Évalué à 2.

        D'où t'as compris ça ?
        J'ai dit que c'était dommage que parmi les utilisateurs du libre il y ait des cons qui commencent à exploiter les failles ocmme ça, c'est tout. Y'a absolument pas de généralisation, Vim est libre, donc le type qu'a fait ça est une utilisateur de LL.

        Et si je préferais la sécurité type 'autruche' je trainerais pas sur ce forum.
    • [^] # Re: triste

      Posté par  . Évalué à 10.

      Mais ça veut dire que des utilisateurs du libre, et des utilisateurs confirmés apparement, ont comme premier réflexe à la découverte d'une faille de l'exploiter malicieusement

      Des cons il y en a partout, et plus le nombre d'utilisateurs augmente, plus grand est le risque d'en avoir dans le groupe malheureusement.
      • [^] # Re: triste

        Posté par  . Évalué à 1.

        Et il vaut mieux commencer à s'y habituer dès maintenant : des utilisateurs sous Linux, il va y en avoir de plus en plus (et c'est pas pour rien que je mets ce post en réponse à celui de pBpG :-) ).
    • [^] # Re: triste

      Posté par  . Évalué à -2.

      c'est une "fonctionnalité" que les gens qui s'occupent de vim ont dû trouver un jour intelligent de rajouter à leur petit monstre.

      c'est bizarre, un éditeur de texte avec exécution automatique de code au lancement, ça me rappelle Word...


      en fait j'utilise vi à la place de vim chaque fois que possible, pas tellement à cause des effets "arbre de Noël" que je dois désactiver à chaque nouvelle installation mais parce que j'ai commencé sous vi-le-vrai, il y a si longtemps...
      • [^] # Re: triste

        Posté par  . Évalué à 7.

        C'est marrant, moi je constate l'effet inverse: tous les admins unix qui posent les yeux sur mon terminal me demandent comment ca se fait que mon vi fait "arbre de noel" ... et si c'est faisable sous aix/sun/hpux/...
        Parce que la coloration syntaxique ca a quand meme du bon !!
        [maintenant, si tu utilise vi juste pour modifier /etc/hosts c'est sur que ca perd de son interet ...]

        d'ailleur sous AIX maintenant les admins ont décidé de déployer RPM qui est fourni par IBM. Ensuite, ils pourront installer les packages produits par IBM pour tous ces outils inutiles donc indispensables: bash / vim / less / ...
        • [^] # Re: triste

          Posté par  . Évalué à 1.

          je me demande bien pourquoi ces "admins" ne sont pas allés jusqu'à
          oser télécharger les sources et recompiler ces outils.
      • [^] # Re: triste

        Posté par  (site web personnel) . Évalué à 4.

        Pourquoi tu installes vim si tu ne l'utilises pas ? C'est comme si j'installais emacs sur les machines que j'utilise, à part pour tester le disque dur ça sert à rien.
        • [^] # Re: triste

          Posté par  . Évalué à 1.

          bah, il arrive que :

          • les fonctionnalités de vim me soient utiles,
          • vi-tout-court s'étouffe,
          • mes utilisateurs et/ou clients me le demandent,
          • certains programmes ont une dépendance dessus, je ne sais plus si c'est gnome-vim ou LVim


          et j'en oublie surement :)
      • [^] # Re: triste

        Posté par  . Évalué à 4.

        c'est une "fonctionnalité" que les gens qui s'occupent de vim ont dû trouver un jour intelligent de rajouter à leur petit monstre.

        Fonctionnalité qui peut s'avérer fort utile néanmoins. Typiquement pour le HTML où il n'y a pas vraiment de moyen de limiter l'indentation, et où le niveau de celle-ci varie grandement d'un fichier à l'autre... Alors passer à chaque fois une minute à faire des :set ts= et :set sts= pour retrouver la taille de tab qui va bien, c'est pénible.

        La seule chose que je leur reproche dans l'histoire c'est de ne pas avoir limité le jeu de commandes pouvant être exécuté via les modelines.
        • [^] # Re: triste

          Posté par  . Évalué à 10.

          Otions.txt (aide de Vim) :

          No other commands than "set" are supported, for security reasons (somebody might create a Trojan horse text file with modelines).

          C'est bête, ça n'aura pas suffit.
  • # Correctif Debian

    Posté par  . Évalué à 10.

    N'ayant pas trouvé de mise à jour du package pour debian (qui est vulnérable), j'ai envoyé un mail au mainteneur.

    Il m'a répondu que l'équipe de sécurité Debian avait été trop occupée par la mise à jour de KDE pour poster le package mis à jour. A priori ça ne devrait plus trop tarder.

    Pour une fois, Debian est à la bourre, RedHat ayant déjà corrigé la vulnérabilité il y a 2 semaines.
    • [^] # Re: Correctif Debian

      Posté par  (site web personnel) . Évalué à 6.

      et pour gentoo ya eu recemment une annonce (http://forums.gentoo.org/viewtopic.php?t=31627(...)) et un patch mettant modelines a 0 par defaut il y a une semaine et quelques.
    • [^] # Re: Correctif Debian

      Posté par  . Évalué à 7.

      A noter que dans la Debian cela fait des semaines que la mise à jour "normale" a déjà proposé de remplacer le fichier de config de vim par une nouvelle version contenant la ligne de désactivation des modelines, autant dans la testing que dans l'unstable (pour la stable je ne sais pas) ...
      • [^] # Re: Correctif Debian

        Posté par  . Évalué à 3.

        Pour plus de precision:
        ls -la /etc/vim/vimrc
        -rw-r--r-- 1 root root 2488 2002-11-28 19:34 /etc/vim/vimrc

        grep -B 6 modeline /etc/vim/vimrc
        " Configuration file for vim

        " Prevent modelines in files from being evaluated (avoids a potential
        " security problem wherein a malicious user could write a hazardous
        " modeline into a file) (override default value of 5)
        set modelines=0

        Bref "correction" datant du 28 Nov 2002 ;-)

        Debian ... une longueur d'avance ?
  • # Re: Un ver pour VIM

    Posté par  . Évalué à 1.

    un ver, peut être évité en ajoutant la ligne "set modelines=0" dans votre /etc/vim/vimrc sous debian

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.