fix CVE-2023-4736 CVE-2023-4733 CVE-2023-4734 CVE-2023-4735 · Pull Request !533 · src-openEuler/vim

fix CVE-2023-4736 CVE-2023-4733 CVE-2023-4734 CVE-2023-4735
https://gitee.com/src-openeuler/vim/issues/I7Y1XB?from=project-issue
https://gitee.com/src-openeuler/vim/issues/I7YIF8?from=project-issue
https://gitee.com/src-openeuler/vim/issues/I7Y1WZ?from=project-issue
https://gitee.com/src-openeuler/vim/issues/I7Y1X2?from=project-issue

一、CVE复现情况
1. CVE-2023-4736
补丁：https://github.com/vim/vim/commit/816fbcc262687b81fc46f82f7bbeb1453addfe0c
复现参考网址：https://huntr.dev/bounties/e1ce0995-4df4-4dec-9cd7-3136ac3e8e71/
说明：该漏洞出现在Windows系统上，Linux系统无法复现。漏洞描述：在Windows系统上，设置filetype plugin on选项。然后在某个目录创建一个 .bat 脚本文件并写入命令，在当前目录使用vim打开某 .pl 文件（或其它文件），则当前目录的 .bat 脚本文件会被自动执行。这是因为在Windows系统中，当前目录搜索优先级较高。
补丁内容是对相关 .vim 脚本文件的运行目录限制，限制其在当前目录执行脚本。

2. CVE-2023-4733
补丁：https://github.com/vim/vim/commit/e1dc9a627536304bc4f738c21e909ad9fcf3974c
复现参考网址：https://huntr.dev/bounties/1ce1fd8c-050a-4373-8004-b35b61590217/ ，该漏洞提供了3个poc
修复前可复现：
1）poc_huaf1
![输入图片说明](https://foruda.gitee.com/images/1694077948196273253/c6f71e28_10102409.png "屏幕截图")
![输入图片说明](https://foruda.gitee.com/images/1694077969522566043/cf3bf5d5_10102409.png "屏幕截图")
2）poc_huaf2
![输入图片说明](https://foruda.gitee.com/images/1694078050210526023/4f3633f2_10102409.png "屏幕截图")
![输入图片说明](https://foruda.gitee.com/images/1694078063290679634/979412f8_10102409.png "屏幕截图")
3）poc_huaf3
![输入图片说明](https://foruda.gitee.com/images/1694078192096863627/3f2cb9d1_10102409.png "屏幕截图")
![输入图片说明](https://foruda.gitee.com/images/1694078205602317400/5215025c_10102409.png "屏幕截图")
修复后问题解决：
1）poc_huaf1
![输入图片说明](https://foruda.gitee.com/images/1694078600805391237/2b7960b3_10102409.png "屏幕截图")
![输入图片说明](https://foruda.gitee.com/images/1694078612667911370/61e71355_10102409.png "屏幕截图")
2）poc_huaf2
![输入图片说明](https://foruda.gitee.com/images/1694078638827824379/563496b2_10102409.png "屏幕截图")
![输入图片说明](https://foruda.gitee.com/images/1694078649952097368/7058ab48_10102409.png "屏幕截图")
3）poc_huaf3
![输入图片说明](https://foruda.gitee.com/images/1694078677112284398/fdd1876c_10102409.png "屏幕截图")
![输入图片说明](https://foruda.gitee.com/images/1694078692942757390/0150fd23_10102409.png "屏幕截图")

3. CVE-2023-4734
补丁：https://github.com/vim/vim/commit/4c6fe2e2ea62469642ed1d80b16d39e616b25cf5
复现参考网址：https://huntr.dev/bounties/688e4382-d2b6-439a-a54e-484780f82217/
修复前可复现：
![输入图片说明](https://foruda.gitee.com/images/1694078346529220219/aa1c06f1_10102409.png "屏幕截图")
![输入图片说明](https://foruda.gitee.com/images/1694078359033775201/691d9080_10102409.png "屏幕截图")
修复后问题解决：
![输入图片说明](https://foruda.gitee.com/images/1694078772694648385/e3005f13_10102409.png "屏幕截图")
![输入图片说明](https://foruda.gitee.com/images/1694078784559423847/e079f85c_10102409.png "屏幕截图")

4. CVE-2023-4735
补丁：https://github.com/vim/vim/commit/889f6af37164775192e33b233a90e86fd3df0f57
复现参考网址：https://huntr.dev/bounties/fc83bde3-f621-42bd-aecb-8c1ae44cba51/
说明：该CVE当前版本无法复现，使用社区修复前的版本vim-9.0.1846依然无法复现，参考复现网址maintainer回复也无法验证buf2变量的OOB write，但考虑到该补丁是对for循环条件的限制，这可以有效防止越界访问，因此建议合入。
![输入图片说明](https://foruda.gitee.com/images/1694138848930537787/b537c17d_10102409.png "屏幕截图")
此处的buf2大小初始被定义为 char_u	buf2[NUMBUFLEN]; ，在for循环中对其循环写入，且在循环结束后在结尾添加 '\0'，新增加 i < (NUMBUFLEN - 1) 限制条件后，可以有效防止因为 '\0' 结束符而导致的越界访问。

二、补丁适配情况
1. 所有补丁文件的 src/version.c 文件未修改。
2. backport-CVE-2023-4736.patch补丁文件内runtime/ftplugin/zig.vim未修改，因为当前vim版本内不存在zig.vim，该文件用于支持zig文件类型的插件脚本，属于新增特性。该功能不影响vim的使用，建议不引入。
![输入图片说明](https://foruda.gitee.com/images/1694079103270531309/96da8270_10102409.png "屏幕截图")
3. backport-CVE-2023-4733.patch补丁文件内未修改测试用例相关代码和未引入用于测试的二进制文件。考虑到由于补丁内的二进制文件用于测试用例，在使用patch打补丁时会失败，使用git打补丁则会引入新的依赖，且在修复前后对该漏洞进行复现操作，可以修复该漏洞，因此不引入测试用例和二进制文件。
![输入图片说明](https://foruda.gitee.com/images/1694079429370148205/7f5d6028_10102409.png "屏幕截图")

三、前后置补丁排查情况
1. CVE-2023-4736无前置补丁和后置补丁
2. CVE-2023-4733无前置补丁和后置补丁
3. CVE-2023-4734有两个前置补丁：backport-patch-9.0.0473-fullcommand-only-works-for-the-current-script-version.patch、backport-patch-9.0.0474-fullcommand-testfailure.patch，用于同步CVE补丁所涉及的f_fullcommand()差异和用于解决测试用例失败问题。
4. CVE-2023-4735无前置补丁和后置补丁

四、测试用例执行成功
1. 补丁引入单个测试用例test_functions.vim/Test_fullcommand() 和 更新测试用例test_vim9_builtin.vim/Test_fullcommand()，分别执行成功
![输入图片说明](https://foruda.gitee.com/images/1694137286652369032/075c00e1_10102409.png "屏幕截图")
![输入图片说明](https://foruda.gitee.com/images/1694137306128414862/4134d57f_10102409.png "屏幕截图")
2. 整体测试用例执行成功
![输入图片说明](https://foruda.gitee.com/images/1694137355230708082/29b87e5b_10102409.png "屏幕截图")

src-openEuler/vim .gitee-modal { width: 500px !important; }

搜索帮助

src-openEuler/vim