vimUbuntu 16/18 的最新软件包是否存在漏洞modeline?
我有两台基于 ubuntu 的生产服务器,一台装有 18.04.2 LTS,另一台装有 16.04.6 LTS。
apt-get upgrade也没有apt-get dist-upgrade显示 vim 的任何新版本。
最新软件包在 Ubuntu 16 上是 7.4,在 Ubuntu 18 上是 8.0。
有什么建议么?
来源:https://www.reddit.com/r/vim/comments/bwp7q3/code_execution_vulnerability_in_vim_811365_and/
答案1
您提到的发行版上还没有 vim 更新包。您可以在:set modeline打开 vim 后禁用 modeline,也可以使用securemodeline插件或从 github repo 下载并编译 vim,这个错误在 19 天前已经修复。
答案2
解决方法是,只需使用 root 执行此命令:
echo -e "set modelines=0\nset nomodeline" >> /etc/vim/vimrc
这将禁用模式行。
模式行又是什么?
在文件开始或结束处使用类似 /* vim: set textwidth=80 tabstop=8: */ 的字符串来告诉 Vim 设置特定选项。