Описание
Уязвимость функции vim_regsub_both текстового редактора vim вызвана переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Вендор
Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «ИВК»
АО "НППКТ"
Наименование ПО
Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Альт 8 СП
vim
АЛЬТ СП 10
ОСОН ОСнова Оnyx
Версия ПО
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
- (Альт 8 СП)
9 (Red Hat Enterprise Linux)
4.7 (Astra Linux Special Edition)
до 9.0.1848 (vim)
- (АЛЬТ СП 10)
до 2.9 (ОСОН ОСнова Оnyx)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
АО «ИВК» Альт 8 СП -
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «ИВК» АЛЬТ СП 10 -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для vim:
https://github.com/vim/vim/commit/ced2c7394aafdc90fb7845e09b3a3fee23d48cb1
https://huntr.dev/bounties/9fc7dced-a7bb-4479-9718-f956df20f612
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-4738
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-4738
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения vim до версии 2:9.0.2116-1
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет vim до 2:9.0.1378-2.astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет vim до 2:9.0.1378-2.astra7 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 12%
0.00041
Низкий
7.8 High
CVSS3
7.2 High
CVSS2
Связанные уязвимости
CVSS3: 7.8
ubuntu
почти 2 года назад
Heap-based Buffer Overflow in GitHub repository vim/vim prior to 9.0.1848.
CVSS3: 7.8
redhat
почти 2 года назад
Heap-based Buffer Overflow in GitHub repository vim/vim prior to 9.0.1848.
CVSS3: 7.8
nvd
почти 2 года назад
Heap-based Buffer Overflow in GitHub repository vim/vim prior to 9.0.1848.
EPSS
Процентиль: 12%
0.00041
Низкий
7.8 High
CVSS3
7.2 High
CVSS2