위험 : OS 명령어 실행 취약점 (CVE-2019-12735) vim 업데이트 방법

| 2019년 6월 12일 | 0 Comments

vim는 리눅스에서 사용하는 편집기 프로그램이며 사용도 편리하므로 대다수의 엔지니어가 애용하고 있습니다.
최근에 vim과 Neovim에서 OS 명령어 실행 취약점 (CVE-2019-12735)가 발견되었다는 소식이 들려 업데이트
방법을 조사후 정리하였습니다.

OS 명령어 실행 취약점 (CVE-2019-12735)이란?
6월 최신 버전을 제외한 vim, Neovim에 취약점이 존재하며 공격자가 특수하게 제작한 파일을 사용자가 실행시키면
공격자가 사용자의 서버로 접근할수있고 사용자가 특수 제작파일을 종료하기 전까지 제어가 가능합니다.
 

테스트 OS
Ubuntu 18.04
CentOS 7

 

참고사항
vim의 업데이트 방법은 같으나 OS에 따라 미리 설치 해야하는 프로그램이 있습니다.

ubuntu 18.04

apt-get update && apt-get upgrade
apt-get install gcc
apt-get install make
apt-get install make-guile
apt-get install ncurses-dev

centos7

yum install gcc git ncurses*

 

업데이트 방법

1. src로 이동후 git을 통해 vim을 다운로드 받습니다.
cd /usr/local/src
git clone https://github.com/vim/vim.git

2. src에 생성된 vim 디렉토리로 들어가 configure를 실행합니다.
cd vim
./configure

3. vim내부에 있는 src로 들어간후 아래의 명령어를 통해 설치를 진행합니다. 
    서버에 따라 참고사항에서 설치한것 이외에도 추가로 설치해야할것이
    있을수도 있습니다.
cd src
make distclean
make
sudo make install

4. 설치가 완료되었다면 아래의 명령어로 버전이 업데이트 됐는지 확인합니다.
     Included patches: 1-1518이 나오면 완료된것이며 만약 이전 버전이 나온다면
     리부팅을 진행후 다시 확인합니다.
vim –version | head -n 3

 

2019년 06월 12일 기준 vim 버전 

root@imitator:/usr/local/src/vim/src# vim –version | head -n 3
VIM – Vi IMproved 8.1 (2018 May 18, compiled Jun 12 2019 11:04:36)
Included patches: 1-1518

 

 

Category: LINUX

About the Author ()