リモートの Debian 10 ホストには、dla-3182 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - vim はヒープベースのバッファオーバーフローに対して脆弱です (CVE-2021-3927、CVE-2021-3984、CVE-2021-4019、CVE-2022-0213)

  - vim は初期化されていない変数の使用に対して脆弱です (CVE-2021-3928)

  - vim はメモリ解放後使用 (Use After Free) に対して脆弱です (CVE-2021-3974, CVE-2021-4069, CVE-2021-4192)

  - vim は領域外読み取りに対して脆弱です (CVE-2021-4193)

  - 8.2より前の GitHub リポジトリ vim/vim におけるヒープベースのバッファオーバーフロー。(CVE-2022-0261、CVE-2022-0359、CVE-2022-0361、CVE-2022-0572)

  - 8.2より前の vim/vim の領域外読み取り。(CVE-2022-0319)

  - 8.2より前の GitHub リポジトリ vim/vim におけるバッファ開始前のメモリ位置のアクセス。
    (CVE-2022-0351)

  - 8.2より前の GitHub リポジトリ vim/vim における領域外読み取り。(CVE-2022-0368、CVE-2022-1851)

  - 8.2より前の GitHub リポジトリ vim/vim におけるスタックベースのバッファオーバーフロー。(CVE-2022-0408)

  - 8.2より前の GitHub リポジトリ vim/vim でのメモリ解放後使用 (Use After Free)。(CVE-2022-0413、CVE-2022-0443、CVE-2022-1898、CVE-2022-1968)

  - 8.2 より前の GitHub リポジトリ vim/vim のヒープベースのバッファオーバーフロー。(CVE-2022-0417)

  - 8.2より前の GitHub リポジトリ vim/vim の範囲外のポインターオフセットの使用。(CVE-2022-0554)

  - 8.2.4418より前の GitHub リポジトリ vim/vim の範囲外のポインターオフセットの使用。(CVE-2022-0685)

  - 8.2.4436 より前の GitHub リポジトリ vim/vim におけるヒープベースのバッファオーバーフロー。(CVE-2022-0714)

  - 8.2.4440 より前の GitHub リポジトリ vim/vim の範囲外のポインターオフセットの使用。(CVE-2022-0729)

  - 8.2.4563 より前の GitHub リポジトリ vim/vim における vim でヒープベースのバッファオーバーフローが発生します。(CVE-2022-0943)

  - 8.2.4646より前の GitHub リポジトリの vim/vim の utf_ptr2char のメモリ解放後使用 (Use-After-Free)。(CVE-2022-1154)

  - 8.2.4895 より前の GitHub リポジトリ vim/vim の append_command のメモリ解放後使用 (Use-After-Free)。この脆弱性は、ソフトウェアのクラッシュ、保護メカニズムのバイパス、メモリの変更、リモート実行の可能性があります (CVE-2022-1616)

  - 8.2.4956 より前の GitHub リポジトリ vim/vim における関数 grab_file_name のバッファオーバーリード。この脆弱性はソフトウェアのクラッシュ、メモリ改ざん、リモート実行の可能性があります。
    (CVE-2022-1720)

  - 9.0 より前の GitHub リポジトリ vim/vim における整数オーバーフローまたはラップアラウンド。(CVE-2022-2285)

  - 9.0より前の GitHub リポジトリ vim/vim におけるスタックベースのバッファオーバーフロー。(CVE-2022-2304)

  - 9.0.0100 より前の GitHub リポジトリ vim/vim における API への入力の未定義の動作。(CVE-2022-2598)

  - 9.0.0246より前の GitHub リポジトリ vim/vim でのメモリ解放後使用 (Use-After-Free)。(CVE-2022-2946)

  - 9.0.0360 より前の GitHub リポジトリ vim/vim でのメモリ解放後使用 (Use-After-Free)。(CVE-2022-3099)

  - 9.0.0389より前の GitHub リポジトリ vim/vim でのメモリ解放後使用 (Use-After-Free)。(CVE-2022-3134)

  - 9.0.0483 より前の GitHub リポジトリ vim/vim におけるヒープベースのバッファオーバーフロー。(CVE-2022-3234)

  - 9.0.0598より前の GitHub リポジトリ vim/vim におけるスタックベースのバッファオーバーフロー。(CVE-2022-3324)

  - vim で脆弱性が見つかり、問題として分類されました。この問題の影響を受けるのは、コンポーネント autocmd ハンドラーの quickfix.c ファイルの関数 qf_update_buffer です。この操作により、メモリ解放後使用 (Use After Free) が発生します。攻撃がリモートで起動される可能性があります。バージョン 9.0.0805 にアップグレードすると、この問題に対処できます。パッチの名前は、d0fab10ed2a86698937e3c3fed2f10bd9bb5e731 です。影響を受けるコンポーネントをアップグレードすることが推奨されます。この脆弱性の識別子は VDB-212324 です。(CVE-2022-3705)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

DebianDLA-3182-1: vim - LTS セキュリティ更新

high Nessus プラグイン ID 167256

バージョン 1.7

バージョン 1.6

バージョン 1.5

バージョン 1.4

バージョン 1.3

バージョン 1.2

バージョン 1.7 Oct 5, 2023, 4:14 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202310051614
バージョン 1.6 Mar 23, 2023, 8:46 PM IAVM reference Plugin Feed: 202303232046
バージョン 1.5 Mar 10, 2023, 10:21 AM IAVM reference Plugin Feed: 202303101021
バージョン 1.4 Dec 15, 2022, 4:16 PM IAVM reference Plugin Feed: 202212151616
バージョン 1.3 Nov 17, 2022, 9:58 PM IAVM reference STIG Severity Plugin Feed: 202211172158
バージョン 1.2 Nov 10, 2022, 7:52 PM New Plugin Feed: 202211101952