製品・ソフトウェアに関する情報

JVN脆弱性詳細

Vim の Python インターフェースの src/if_python.c における信頼性のない検索パスの脆弱性

Title	Vim の Python インターフェースの src/if_python.c における信頼性のない検索パスの脆弱性
Summary	Vim の Python インターフェースの src/if_python.c には、信頼性のない検索パスの脆弱性が存在します。
Possible impacts	bicyclerepair の plugin/bike.vim 用の誤りのある検索パスによって立証されたとおり、ローカルユーザにより、カレントディレクトリの Python を使ったトロイの木馬を介して、任意のコードを実行される可能性があります。これは、PySys_SetArgv 関数 (CVE-2008-5983) に関連する脆弱性です。
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Jan. 28, 2009, midnight
Registration Date	July 8, 2009, 11:19 a.m.
Last Update	April 26, 2010, 4:45 p.m.

CVSS2.0 : 警告
Score	6.9
Vector	AV:L/AC:M/Au:N/C:C/I:C/A:C

Affected System

アップル

Apple Mac OS X v10.5.8

Apple Mac OS X Server v10.5.8

Vim

Vim 7.2.045 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-0316	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0316
National Vulnerability Database (NVD)
2	CVE-2009-0316	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-0316

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	Name	URL
Apple Security Updates
1	HT4077	http://support.apple.com/kb/HT4077
Apple セキュリティアップデート
2	HT4077	http://support.apple.com/kb/HT4077?viewlocale=ja_JP
Vim the Editor
3	Top Page	http://www.vim.org/

Change Log

No	Changed Details	Date of change
0	[2009年07月08日] 掲載 [2010年04月26日] 影響を受けるシステム：アップル (HT4077) の情報を追加ベンダ情報：アップル (HT4077) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2009-0316

Summary	Untrusted search path vulnerability in src/if_python.c in the Python interface in Vim before 7.2.045 allows local users to execute arbitrary code via a Trojan horse Python file in the current working directory, related to a vulnerability in the PySys_SetArgv function (CVE-2008-5983), as demonstrated by an erroneous search path for plugin/bike.vim in bicyclerepair.
Summary	Una vulnerabilidad de ruta de búsqueda no confiable en el archivo src/if_python.c en la interfaz de Python en Vim en versiones anteriores a 7.2.045, permite a los usuarios locales ejecutar código arbitrario por medio de un archivo Python de tipo caballo de Troya en el directorio de trabajo actual, relacionado con una vulnerabilidad en la función PySys_SetArgv (CVE- 2008-5983), como es demostrado por una ruta de búsqueda errónea para el archivo plugin/bike.vim en bicyclerepair.
Publication Date	Jan. 28, 2009, 8:30 p.m.
Registration Date	Jan. 29, 2021, 1:14 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:vim:vim::::::::		7.2
cpe:2.3:a:vim:vim:1.0:::::::*
cpe:2.3:a:vim:vim:1.22:::::::*
cpe:2.3:a:vim:vim:3.0:::::::*
cpe:2.3:a:vim:vim:4.0:::::::*
cpe:2.3:a:vim:vim:5.0:::::::*
cpe:2.3:a:vim:vim:5.1:::::::*
cpe:2.3:a:vim:vim:5.2:::::::*
cpe:2.3:a:vim:vim:5.3:::::::*
cpe:2.3:a:vim:vim:5.4:::::::*
cpe:2.3:a:vim:vim:5.5:::::::*
cpe:2.3:a:vim:vim:5.6:::::::*
cpe:2.3:a:vim:vim:5.7:::::::*
cpe:2.3:a:vim:vim:5.8:::::::*
cpe:2.3:a:vim:vim:6.0:::::::*
cpe:2.3:a:vim:vim:6.1:::::::*
cpe:2.3:a:vim:vim:6.2:::::::*
cpe:2.3:a:vim:vim:6.3:::::::*
cpe:2.3:a:vim:vim:6.4:::::::*
cpe:2.3:a:vim:vim:7.0:::::::*
cpe:2.3:a:vim:vim:7.1:::::::*

Related information, measures and tools

No	URL	refsource
1	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=484305	cve@mitre.org
2	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=493937	cve@mitre.org
3	http://lists.apple.com/archives/security-announce/2010//Mar/msg00001.html	cve@mitre.org
4	http://support.apple.com/kb/HT4077	cve@mitre.org
5	http://www.mandriva.com/security/advisories?name=MDVSA-2009:047	cve@mitre.org
6	http://www.nabble.com/Bug-484305%3A-bicyclerepair%3A-bike.vim-imports-untrusted-python-files-from-cwd-td18848099.html	cve@mitre.org
7	http://www.openwall.com/lists/oss-security/2009/01/26/2	cve@mitre.org
8	http://www.securityfocus.com/bid/33447	cve@mitre.org
9	https://bugzilla.redhat.com/show_bug.cgi?id=481565	cve@mitre.org
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/48275	cve@mitre.org
11	https://svn.pardus.org.tr/pardus/2008/applications/editors/vim/files/official/7.2.045	cve@mitre.org
12	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=484305	af854a3a-2127-422b-91ae-364da2661108
13	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=493937	af854a3a-2127-422b-91ae-364da2661108
14	http://lists.apple.com/archives/security-announce/2010//Mar/msg00001.html	af854a3a-2127-422b-91ae-364da2661108
15	http://support.apple.com/kb/HT4077	af854a3a-2127-422b-91ae-364da2661108
16	http://www.mandriva.com/security/advisories?name=MDVSA-2009:047	af854a3a-2127-422b-91ae-364da2661108
17	http://www.nabble.com/Bug-484305%3A-bicyclerepair%3A-bike.vim-imports-untrusted-python-files-from-cwd-td18848099.html	af854a3a-2127-422b-91ae-364da2661108
18	http://www.openwall.com/lists/oss-security/2009/01/26/2	af854a3a-2127-422b-91ae-364da2661108
19	http://www.securityfocus.com/bid/33447	af854a3a-2127-422b-91ae-364da2661108
20	https://bugzilla.redhat.com/show_bug.cgi?id=481565	af854a3a-2127-422b-91ae-364da2661108
21	https://exchange.xforce.ibmcloud.com/vulnerabilities/48275	af854a3a-2127-422b-91ae-364da2661108
22	https://svn.pardus.org.tr/pardus/2008/applications/editors/vim/files/official/7.2.045	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:vim:vim::::::::		7.2
cpe:2.3:a:vim:vim:1.0:::::::*
cpe:2.3:a:vim:vim:1.22:::::::*
cpe:2.3:a:vim:vim:3.0:::::::*
cpe:2.3:a:vim:vim:4.0:::::::*
cpe:2.3:a:vim:vim:5.0:::::::*
cpe:2.3:a:vim:vim:5.1:::::::*
cpe:2.3:a:vim:vim:5.2:::::::*
cpe:2.3:a:vim:vim:5.3:::::::*
cpe:2.3:a:vim:vim:5.4:::::::*
cpe:2.3:a:vim:vim:5.5:::::::*
cpe:2.3:a:vim:vim:5.6:::::::*
cpe:2.3:a:vim:vim:5.7:::::::*
cpe:2.3:a:vim:vim:5.8:::::::*
cpe:2.3:a:vim:vim:6.0:::::::*
cpe:2.3:a:vim:vim:6.1:::::::*
cpe:2.3:a:vim:vim:6.2:::::::*
cpe:2.3:a:vim:vim:6.3:::::::*
cpe:2.3:a:vim:vim:6.4:::::::*
cpe:2.3:a:vim:vim:7.0:::::::*
cpe:2.3:a:vim:vim:7.1:::::::*