Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1041

[Generic/VIM] Ausführung von Befehlen beim Öffnen von Dateien
(2002-12-13 10:23:15.837616+00) Druckversion

Quelle: http://www.guninski.com/vim1.html

Der Texteditor VIM weist eine Schwachstelle auf, über die beim Öffnen von Dateien beliebiger Programmcode ausgeführt werden kann.

Betroffene Systeme

  • Systeme, die VIM 6.0 und 6.1 einsetzen.

Einfallstor
Dateien, die mit VIM geöffnet werden.

Auswirkung
Es wird Programmcode, der in den Dateien enthalten ist, ausgeführt.

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
VIM ist eine (erweiterte) Implementierung des Texteditors vi, die für zahlreiche Betriebssysteme verfügbar ist.

Beim Öffnen von Dateien wertet VIM sogenannte Modelines aus. Dies sind Zeilen in einem speziellen Format, die Steuerbefehle enthalten.

Beschreibung
VIM sollte beim Verarbeiten von Modelines verhindern, daß darüber beliebige Befehle ausgeführt werden können, doch dieser Schutz ist unvollständig. Es ist nun eine Möglichkeit entdeckt worden, wie über diesen Mechanismus die Ausführung beliebiger Programme angestoßen werden. Zusammen mit ein wenig social engineering ergeben sich sehr weitgehende Angriffsmöglichkeiten, da VIM häufig zur Systemadministration eingesetzt wird.

In einigen Fällen (z.B. beim Öffnen von Dateien, die VIM als E-Mail-Nachrichten erkennt) wird allerdings die Auswertung der Modelines unterdrückt, wodurch diese Schwachstelle nicht immer auf den offensichtlichen Wegen für Angreifer ausnutzbar ist.

VIM 5.7 ist von dieser konkreten Schwachstelle nicht betroffen, dennoch birgt auch in älteren Versionen das Interpretieren von Modlines Risiken.

Gegenmaßnahmen

  • Es empfiehlt sich, das Verarbeiten von Modelines abzustellen. Dazu ist entweder bei jedem Benutzer in die Datei ~/.vimrc oder global in /etc/vimrc bzw. /etc/vim/vimrc folgende Zeile einzutragen:

    set modelines=0
    

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.