Vigil@nce : Vim, diffusion d’informations sensibles
août 2008 par Vigil@nce
SYNTHÈSE
Un attaquant peut récupérer l’identifiant et le mot de passe de la
vicitme.
Gravité : 3/4
Conséquences : accès/droits privilégié, lecture de données,
création/modification de données
Provenance : client internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 14/08/2008
Référence : VIGILANCE-VUL-8028
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION
Vim est un éditeur de texte permettant l’ajout de plugins, comme
par exemple "Netrw" qui permet la lecture et l’écriture de fichier
à travers le réseau.
A chaque ouverture de session FTP, le plugin "Netrw" envoi par
défaut les identifiants et mots de passe de la dernière session
FTP valide.
Un attaquant peut donc récupérer ces informations et modifier les
fichiers contenus sur le serveur FTP de la victime.
CARACTÉRISTIQUES
Références : VIGILANCE-VUL-8028