J'ai l'impression qu'on fait beaucoup de bruits pour pas grand chose. En effet, il y avait un soucis et ça a été patché, mais ça semble quand même venir d'une fonctionnalité de VIm: la possibilité de mettre des commandes pour configurer l'éditeur directement dans le fichier.
Est-ce que c'est vraiment une faille nouvelle, ou plutôt une RCE as a feature qui était déjà là depuis longtemps ?
Du côté d'Emacs, quand on regarde la cascade d'évènements qui mène à ça, je rejoins l'analyse des mainteneurs (vous pouvez l'exécuter avec la commande git ls-files... ah non, avec toutes les commandes git). Mais pourquoi ? Parce que Git a une fonctionnalité qui permet de définir un script pour un hook. Et c'est ce script qui est exécuté. Or, il s'agit d'un hook qui ne se trouve qu'en local, donc s'il se trouve sur votre PC, il y a d'autres soucis à se faire.
Ça me rappelle le fuzzing ce genre de tickets, avec une bibliothèque d'analyse d'images qui s'est faite fuzzer et le mainteneur a tout rejeté parce que "bah oui, ça crash sur une image qui n'est pas valide, vous vous attendiez à quoi ?". (si une bonne âme a la source, je ne m'en souviens plus...)
Tout ça pour dire que ce genre de failles, je les trouve un peu ridicule quand on creuse un peu... À ça de se demander si les chercheurs ont vraiment creusé le problème (du moins pour Emacs).
# Vraiment un problème ?
Posté par rick . En réponse au journal Claude trouve une faille dans Vim ET Emacs. Évalué à 1.
J'ai l'impression qu'on fait beaucoup de bruits pour pas grand chose. En effet, il y avait un soucis et ça a été patché, mais ça semble quand même venir d'une fonctionnalité de VIm: la possibilité de mettre des commandes pour configurer l'éditeur directement dans le fichier.
Est-ce que c'est vraiment une faille nouvelle, ou plutôt une RCE as a feature qui était déjà là depuis longtemps ?
Du côté d'Emacs, quand on regarde la cascade d'évènements qui mène à ça, je rejoins l'analyse des mainteneurs (vous pouvez l'exécuter avec la commande git ls-files... ah non, avec toutes les commandes git). Mais pourquoi ? Parce que Git a une fonctionnalité qui permet de définir un script pour un hook. Et c'est ce script qui est exécuté. Or, il s'agit d'un hook qui ne se trouve qu'en local, donc s'il se trouve sur votre PC, il y a d'autres soucis à se faire.
Ça me rappelle le fuzzing ce genre de tickets, avec une bibliothèque d'analyse d'images qui s'est faite fuzzer et le mainteneur a tout rejeté parce que "bah oui, ça crash sur une image qui n'est pas valide, vous vous attendiez à quoi ?". (si une bonne âme a la source, je ne m'en souviens plus...)
Tout ça pour dire que ce genre de failles, je les trouve un peu ridicule quand on creuse un peu... À ça de se demander si les chercheurs ont vraiment creusé le problème (du moins pour Emacs).