Conversation

Notices

1. Ekaitz Zárraga 👹 (ekaitz_zarraga@mastodon.social)'s status on Wednesday, 12-Jun-2019 13:37:15 UTC Ekaitz Zárraga 👹

   • fanta ahora en fanta@asocial.56k.es
   • (-(-_(-_-)_-)-)
   • zital

   @zital @fanta @jordila Ya avisaban...

   • fanta ahora en fanta@asocial.56k.es repeated this.
   • fanta ahora en fanta@asocial.56k.es (fanta@linuxinthenight.com)'s status on Wednesday, 12-Jun-2019 06:09:15 UTC fanta ahora en fanta@asocial.56k.es

     • (-(-_(-_-)_-)-)
     • Ondiz
     Mucho hablan sobre que si nano es el malo, emacs el bueno y vi el feo. Puede que nano solo sirva para editar texto y por eso mismo no compromete tu sistema como hace vim: "Una vulnerabilidad en Vim permite hackear Linux con simplemente abrir un archivo en el editor"
     https://linuxinthenight.com/url/349219
     
     No somos nadie. @jordila @ondiz #editores #jornadaslibres #debate #vim #inseguro
     puppetmaster and T3rr0rZ0n3 #NiUnaMés like this.
     Revu and soloojos (Mastodon) repeated this.
   • fanta ahora en fanta@asocial.56k.es (fanta@linuxinthenight.com)'s status on Wednesday, 12-Jun-2019 09:02:27 UTC fanta ahora en fanta@asocial.56k.es

     • (-(-_(-_-)_-)-)
     • Ondiz
     • foo
     • netskaven
     @netskaven @jordila @ondiz @foo muy bien pero ... vim tiene una cagada que afecta al sistema operativo.
     
     Pasos para comprobar si estas afectado:
     
     1) Si tu versión de VI/VIM es inferior a 8.1.1365 puedes estar afectado.
     2) Si es inferior, debes comprobar si tienes activo el modo 'modeline' que explota la vulnerabilidad.
     
     Entra en VI, y escribe:
     :set modeline?
     (dos puntos espacio en blanco modeline interrogacion)
     Vi te puede devolver 2 respuestas:
     a) nomodeline ==> Perfecto, no estas afectado
     b) modeline ===> Estas afectado. Tranquilo que hay solución !!
     
     Si tu version de Linux no ha sacado el parche y estas afectado simplemente debes editar el fichero 'vimrc' e incluir las siguientes 2 líneas:
     set modelines=0
     set nomodeline
     puppetmaster likes this.
     puppetmaster and jartigag repeated this.
   • fanta ahora en fanta@asocial.56k.es (fanta@linuxinthenight.com)'s status on Wednesday, 12-Jun-2019 09:09:19 UTC fanta ahora en fanta@asocial.56k.es

     • (-(-_(-_-)_-)-)
     • Ondiz
     • foo
     • netskaven
     @foo @jordila @ondiz @netskaven pero si entras a diferentes equipos remotamente por ejemplo lo mismo te olvidas que si usas vi/vim para editar algo ... puede que lleve sorpresa y comprometas un servidor. O la gente que lee los correos con vim por ejemplo.
     Buena cosa es simplemente tenerlo en cuenta ya que ya andan compartiendo POC para explotar este fallo. Y nunca sabes cuando te puede venir un readme.md infectado en un clonado de un repo git maligno.
   • _a_nthk (15f9@mstdn.io@mstdn.io)'s status on Wednesday, 12-Jun-2019 16:50:04 UTC _a_nthk

     in reply to

     • fanta ahora en fanta@asocial.56k.es
     • (-(-_(-_-)_-)-)
     • zital

     @ekaitz_zarraga @zital @fanta @jordila

     Por eso uso nvi(2). OpenBSD tiene nvi(1) como base, pero no soporta unicode, así que nvi(2) desde ports (que es casi lo mismo), funciona igual, sin tener modelines. Es una maravilla lo rápido que va.
     Que por cierto vim es lento de cojones, literalmente millones de veces más lento. Podría postear el famoso benchmark de nvi vs vim con una operación repetida con MBs de RAM en uso.

     fanta ahora en fanta@asocial.56k.es repeated this.
   • fanta ahora en fanta@asocial.56k.es (fanta@linuxinthenight.com)'s status on Wednesday, 12-Jun-2019 16:50:19 UTC fanta ahora en fanta@asocial.56k.es

     • fanta ahora en fanta@asocial.56k.es
     • (-(-_(-_-)_-)-)
     • zital
     @ekaitzzarraga@mastodon.social @zital @fanta @jordila Joder.