製品・ソフトウェアに関する情報

JVN脆弱性詳細

Vim の Python インターフェースの src/if_python.c における信頼性のない検索パスの脆弱性

タイトル	Vim の Python インターフェースの src/if_python.c における信頼性のない検索パスの脆弱性
概要	Vim の Python インターフェースの src/if_python.c には、信頼性のない検索パスの脆弱性が存在します。
想定される影響	bicyclerepair の plugin/bike.vim 用の誤りのある検索パスによって立証されたとおり、ローカルユーザにより、カレントディレクトリの Python を使ったトロイの木馬を介して、任意のコードを実行される可能性があります。これは、PySys_SetArgv 関数 (CVE-2008-5983) に関連する脆弱性です。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2009年1月28日0:00
登録日	2009年7月8日11:19
最終更新日	2010年4月26日16:45

CVSS2.0 : 警告
スコア	6.9
ベクター	AV:L/AC:M/Au:N/C:C/I:C/A:C

影響を受けるシステム

アップル

Apple Mac OS X v10.5.8

Apple Mac OS X Server v10.5.8

Vim

Vim 7.2.045 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2009-0316	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0316
National Vulnerability Database (NVD)
2	CVE-2009-0316	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-0316

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
Apple Security Updates
1	HT4077	http://support.apple.com/kb/HT4077
Apple セキュリティアップデート
2	HT4077	http://support.apple.com/kb/HT4077?viewlocale=ja_JP
Vim the Editor
3	Top Page	http://www.vim.org/

変更履歴

No	変更内容	変更日
0	[2009年07月08日] 掲載 [2010年04月26日] 影響を受けるシステム：アップル (HT4077) の情報を追加ベンダ情報：アップル (HT4077) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2009-0316

概要	Untrusted search path vulnerability in src/if_python.c in the Python interface in Vim before 7.2.045 allows local users to execute arbitrary code via a Trojan horse Python file in the current working directory, related to a vulnerability in the PySys_SetArgv function (CVE-2008-5983), as demonstrated by an erroneous search path for plugin/bike.vim in bicyclerepair.
概要	Una vulnerabilidad de ruta de búsqueda no confiable en el archivo src/if_python.c en la interfaz de Python en Vim en versiones anteriores a 7.2.045, permite a los usuarios locales ejecutar código arbitrario por medio de un archivo Python de tipo caballo de Troya en el directorio de trabajo actual, relacionado con una vulnerabilidad en la función PySys_SetArgv (CVE- 2008-5983), como es demostrado por una ruta de búsqueda errónea para el archivo plugin/bike.vim en bicyclerepair.
公表日	2009年1月28日20:30
登録日	2021年1月29日13:14
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:vim:vim::::::::		7.2
cpe:2.3:a:vim:vim:1.0:::::::*
cpe:2.3:a:vim:vim:1.22:::::::*
cpe:2.3:a:vim:vim:3.0:::::::*
cpe:2.3:a:vim:vim:4.0:::::::*
cpe:2.3:a:vim:vim:5.0:::::::*
cpe:2.3:a:vim:vim:5.1:::::::*
cpe:2.3:a:vim:vim:5.2:::::::*
cpe:2.3:a:vim:vim:5.3:::::::*
cpe:2.3:a:vim:vim:5.4:::::::*
cpe:2.3:a:vim:vim:5.5:::::::*
cpe:2.3:a:vim:vim:5.6:::::::*
cpe:2.3:a:vim:vim:5.7:::::::*
cpe:2.3:a:vim:vim:5.8:::::::*
cpe:2.3:a:vim:vim:6.0:::::::*
cpe:2.3:a:vim:vim:6.1:::::::*
cpe:2.3:a:vim:vim:6.2:::::::*
cpe:2.3:a:vim:vim:6.3:::::::*
cpe:2.3:a:vim:vim:6.4:::::::*
cpe:2.3:a:vim:vim:7.0:::::::*
cpe:2.3:a:vim:vim:7.1:::::::*

関連情報、対策とツール

No	URL	refsource
1	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=484305	cve@mitre.org
2	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=493937	cve@mitre.org
3	http://lists.apple.com/archives/security-announce/2010//Mar/msg00001.html	cve@mitre.org
4	http://support.apple.com/kb/HT4077	cve@mitre.org
5	http://www.mandriva.com/security/advisories?name=MDVSA-2009:047	cve@mitre.org
6	http://www.nabble.com/Bug-484305%3A-bicyclerepair%3A-bike.vim-imports-untrusted-python-files-from-cwd-td18848099.html	cve@mitre.org
7	http://www.openwall.com/lists/oss-security/2009/01/26/2	cve@mitre.org
8	http://www.securityfocus.com/bid/33447	cve@mitre.org
9	https://bugzilla.redhat.com/show_bug.cgi?id=481565	cve@mitre.org
10	https://exchange.xforce.ibmcloud.com/vulnerabilities/48275	cve@mitre.org
11	https://svn.pardus.org.tr/pardus/2008/applications/editors/vim/files/official/7.2.045	cve@mitre.org
12	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=484305	af854a3a-2127-422b-91ae-364da2661108
13	http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=493937	af854a3a-2127-422b-91ae-364da2661108
14	http://lists.apple.com/archives/security-announce/2010//Mar/msg00001.html	af854a3a-2127-422b-91ae-364da2661108
15	http://support.apple.com/kb/HT4077	af854a3a-2127-422b-91ae-364da2661108
16	http://www.mandriva.com/security/advisories?name=MDVSA-2009:047	af854a3a-2127-422b-91ae-364da2661108
17	http://www.nabble.com/Bug-484305%3A-bicyclerepair%3A-bike.vim-imports-untrusted-python-files-from-cwd-td18848099.html	af854a3a-2127-422b-91ae-364da2661108
18	http://www.openwall.com/lists/oss-security/2009/01/26/2	af854a3a-2127-422b-91ae-364da2661108
19	http://www.securityfocus.com/bid/33447	af854a3a-2127-422b-91ae-364da2661108
20	https://bugzilla.redhat.com/show_bug.cgi?id=481565	af854a3a-2127-422b-91ae-364da2661108
21	https://exchange.xforce.ibmcloud.com/vulnerabilities/48275	af854a3a-2127-422b-91ae-364da2661108
22	https://svn.pardus.org.tr/pardus/2008/applications/editors/vim/files/official/7.2.045	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧

構成1	以上	以下	より上	未満
cpe:2.3:a:vim:vim::::::::		7.2
cpe:2.3:a:vim:vim:1.0:::::::*
cpe:2.3:a:vim:vim:1.22:::::::*
cpe:2.3:a:vim:vim:3.0:::::::*
cpe:2.3:a:vim:vim:4.0:::::::*
cpe:2.3:a:vim:vim:5.0:::::::*
cpe:2.3:a:vim:vim:5.1:::::::*
cpe:2.3:a:vim:vim:5.2:::::::*
cpe:2.3:a:vim:vim:5.3:::::::*
cpe:2.3:a:vim:vim:5.4:::::::*
cpe:2.3:a:vim:vim:5.5:::::::*
cpe:2.3:a:vim:vim:5.6:::::::*
cpe:2.3:a:vim:vim:5.7:::::::*
cpe:2.3:a:vim:vim:5.8:::::::*
cpe:2.3:a:vim:vim:6.0:::::::*
cpe:2.3:a:vim:vim:6.1:::::::*
cpe:2.3:a:vim:vim:6.2:::::::*
cpe:2.3:a:vim:vim:6.3:::::::*
cpe:2.3:a:vim:vim:6.4:::::::*
cpe:2.3:a:vim:vim:7.0:::::::*
cpe:2.3:a:vim:vim:7.1:::::::*