failles de sécurité sur vim et neovim

classic Classic list List threaded Threaded
12 messages Options
Reply | Threaded
Open this post in threaded view
|

failles de sécurité sur vim et neovim

Bernard Schoenacker
bonjour,

voici la nouvelle ainsi que l'explication
de la faille :

http://www.global-informatique-securite.com/2019/06/failles-de-securite-pour-les-utilisateurs-de-vim-neovim.html

merci

slt
bernard

Reply | Threaded
Open this post in threaded view
|

Re: failles de sécurité sur vim et neovim

Florian Blanc
:o la classe !
nice info merci

Le mar. 11 juin 2019 à 10:43, Bernard Schoenacker <[hidden email]> a écrit :
bonjour,

voici la nouvelle ainsi que l'explication
de la faille :

http://www.global-informatique-securite.com/2019/06/failles-de-securite-pour-les-utilisateurs-de-vim-neovim.html

merci

slt
bernard

Reply | Threaded
Open this post in threaded view
|

Re: failles de sécurité sur vim et neovim

Florian Blanc
In reply to this post by Bernard Schoenacker

Le mar. 11 juin 2019 à 10:43, Bernard Schoenacker <[hidden email]> a écrit :
bonjour,

voici la nouvelle ainsi que l'explication
de la faille :

http://www.global-informatique-securite.com/2019/06/failles-de-securite-pour-les-utilisateurs-de-vim-neovim.html

merci

slt
bernard

Reply | Threaded
Open this post in threaded view
|

Re: failles de sécurité sur vim et neovim

Florian Blanc
en plus rapide :
editez le fichier ~/.vimrc
insérez ceci :
:set modelines=0
:set nomodeline

chmod 600 ~/.vimrc


Le mar. 11 juin 2019 à 18:03, Florian Blanc <[hidden email]> a écrit :

Le mar. 11 juin 2019 à 10:43, Bernard Schoenacker <[hidden email]> a écrit :
bonjour,

voici la nouvelle ainsi que l'explication
de la faille :

http://www.global-informatique-securite.com/2019/06/failles-de-securite-pour-les-utilisateurs-de-vim-neovim.html

merci

slt
bernard

Reply | Threaded
Open this post in threaded view
|

Re: failles de sécurité sur vim et neovim

Steve Petruzzello
Le mardi 11 juin 2019, Florian Blanc ([hidden email]) a écrit :

>   en plus rapide :
>   editez le fichier ~/.vimrc
>   insérez ceci :
>   :set modelines=0

Autant utiliser notepad… :)

Reply | Threaded
Open this post in threaded view
|

Re: failles de sécurité sur vim et neovim

Florian Blanc
steve, si tu utilises cette fonctionnalité go build, le patch est présent : https://github.com/vim/vim

Le mar. 11 juin 2019 à 18:40, steve <[hidden email]> a écrit :
Le mardi 11 juin 2019, Florian Blanc ([hidden email]) a écrit :

>   en plus rapide :
>   editez le fichier ~/.vimrc
>   insérez ceci :
>   :set modelines=0

Autant utiliser notepad… :)

Reply | Threaded
Open this post in threaded view
|

Re: failles de sécurité sur vim et neovim

Étienne Mollier
Bonjour,

Je peux me tromper, mais d'après /usr/share/vim/vim81/debian.vim,
il me semble que cette vulnérabilité déjà mitigée par défaut dans
Debian, et que cette option ne date pas d'hier :
> " modelines have historically been a source of security/resource
> " vulnerabilities -- disable by default, even when 'nocompatible' is set
> set nomodeline

Ceci étant, un petit rappel comme quoi il est dangereux d'activer
les modelines est toujours bienvenu.  Un coup d'œil à l'aide de
l'option « secure » est également bienvenu si vous utilisez vim en
tant que root pour éditer vos fichiers de configuration :

        :h secure

Bien à vous,
--
Étienne Mollier <[hidden email]>

Reply | Threaded
Open this post in threaded view
|

Re: failles de sécurité sur vim et neovim

Steve Petruzzello
In reply to this post by Florian Blanc
Le 11-06-2019, à 19:04:11 +0200, Florian Blanc a écrit :

>   steve, si tu utilises cette fonctionnalité go build, le patch est présent
>   : [1]https://github.com/vim/vim

Already done my friend :)

vim --version
VIM - Vi IMproved 8.1 (2018 May 18, compilé Jun 11 2019 11:00:51)
Rustines incluses : 1-1517

Reply | Threaded
Open this post in threaded view
|

Re: failles de sécurité sur vim et neovim

Nisar JAGABAR-2
In reply to this post by Florian Blanc
Ou en mieux :
bash# apt autoremove --purge vim* && apt install emacs


Le 11/06/2019 à 18:08, Florian Blanc a écrit :

> en plus rapide :
> editez le fichier ~/.vimrc
> insérez ceci :
> :set modelines=0
> :set nomodeline
>
> chmod 600 ~/.vimrc
>
>
> Le mar. 11 juin 2019 à 18:03, Florian Blanc <[hidden email]
> <mailto:[hidden email]>> a écrit :
>
>     https://www.techrepublic.com/blog/it-security/turn-off-modeline-support-in-vim/
>     <https://urldefense.com/v3/__https://www.techrepublic.com/blog/it-security/turn-off-modeline-support-in-vim/__;!YggOdHcy3_sa5w!_sXv3rcXgkdWMRppb4faIkWGUZgOJ-_cKZ8VTRQBfDhfWFIfAdxq-bNA2WIp4zGk2L8d$>
>
>
>     Le mar. 11 juin 2019 à 10:43, Bernard Schoenacker
>     <[hidden email] <mailto:[hidden email]>> a
>     écrit :
>
>         bonjour,
>
>         voici la nouvelle ainsi que l'explication
>         de la faille :
>
>         http://www.global-informatique-securite.com/2019/06/failles-de-securite-pour-les-utilisateurs-de-vim-neovim.html
>         <https://urldefense.com/v3/__http://www.global-informatique-securite.com/2019/06/failles-de-securite-pour-les-utilisateurs-de-vim-neovim.html__;!YggOdHcy3_sa5w!_sXv3rcXgkdWMRppb4faIkWGUZgOJ-_cKZ8VTRQBfDhfWFIfAdxq-bNA2WIp41NE1uP-$>
>
>         merci
>
>         slt
>         bernard
>

--
Nisar JAGABAR
  ,= ,-_-. =.
((_/)o o(\_))
  `-'(. .)`-'
      \_/

Reply | Threaded
Open this post in threaded view
|

Re: failles de sécurité sur vim et neovim

BERTRAND Joël-2
Nisar JAGABAR a écrit :
> Ou en mieux :
> bash# apt autoremove --purge vim* && apt install emacs

        Faut pas exagérer, je n'ai que 32 Go de mémoire sur mon poste de
travail !...

Reply | Threaded
Open this post in threaded view
|

Re: failles de sécurité sur vim et neovim

Fabrice Regnier
'lut,

> Faut pas exagérer, je n'ai que 32 Go de mémoire sur mon poste de
> travail !...
Le vendredi arrive de plus en plus vite sur cette liste!

Tant mieux, ça nous rapproche du we ;)

f.



Reply | Threaded
Open this post in threaded view
|

Re: failles de sécurité sur vim et neovim

Eric Degenetais
In reply to this post by BERTRAND Joël-2
Le mer. 12 juin 2019 4:05 PM, BERTRAND Joël <[hidden email]> a écrit :
Nisar JAGABAR a écrit :
> Ou en mieux :
> bash# apt autoremove --purge vim* && apt install emacs

        Faut pas exagérer, je n'ai que 32 Go de mémoire sur mon poste de
travail !...

Déjà vendredi ? 
Wow, je n'ai pas vu passer la semaine :p

Éric Dégenètais