注： 1. 本公告所涉及的漏洞修復信息知識產權全部歸麒麟軟件有限公司所有，此安全漏洞補丁公告僅適用于麒麟軟件操作系統通用主線產品，定制、OEM等版本可根據需要聯系售后獲取支持。任何媒體、網站或個人轉載使用時不得進行商業性的原版原式的轉載，也不得歪曲和篡改所發布的內容。此聲明以及其修改權、更新權及最終解釋權均歸本網所有。 2. 此安全漏洞補丁公告僅適用于銀河麒麟桌面操作系統V10 SP1 2303版本，系統版本查詢工具下載鏈接： https://security-oss.kylinos.cn/Desktop/libkysdk-sysinfo.zip 1. 漏洞概述 CVE-2022-1968 Vim是一款跨平臺的文本編輯器。Vim 8.2 之前版本存在安全漏洞，該漏洞源于存在釋放后重用問題。 CVE-2022-2125 Vim是一款跨平臺的文本編輯器。Vim 8.2 之前版本存在安全漏洞，該漏洞源于存在基于堆的緩沖區溢出。 CVE-2022-2304 Tiny File Manager是一款基于Web的開源文件管理器。Tiny File Manager 2.4.8版本存在跨站請求偽造漏洞，該漏洞源于容易受到 CSRF 的攻擊，在服務器端處理上傳的文件，并允許未經身份驗證的用戶訪問上傳的文件，攻擊者利用該漏洞可以在服務器上遠程執行任意代碼。 CVE-2022-2946 Intel Converged Security and Management Engine（CSME）等都是美國英特爾（Intel）公司的產品。Intel Converged Security and Management Engine是一款安全管理引擎。Intel Server Platform Services（SPS）是一款服務器平臺服務程序。Intel Active Management Technology（AMT）是一套以硬件為基礎的計算機遠程主動管理技術軟件。Vim在打開某些文件時錯誤地處理了內存。如果攻擊者能夠誘騙用戶打開特制的文件，則可能導致Vim崩潰，或者可能執行任意代碼。 CVE-2022-1629 Vim是一款跨平臺的文本編輯器。Vim 8.2.4925之前版本存在安全漏洞，該漏洞源于find_next_quote函數的緩沖區過度讀取，從而導致軟件崩潰、修改內存和遠程執行。 CVE-2022-0413 Vim是一款基于UNIX平臺的編輯器。vim 存在資源管理錯誤漏洞，該漏洞源于這個漏洞允許攻擊者可利用該漏洞輸入一個特別制作的文件，導致崩潰或代碼執行。 CVE-2022-1785 Vim是一款跨平臺的文本編輯器。Vim 8.2.4977 之前版本存在緩沖區錯誤漏洞，該漏洞源于越界寫入。 CVE-2022-2845 Vim是一款跨平臺的文本編輯器。Vim 9.0.0217之前版本存在安全漏洞，該漏洞源于緩沖區過度讀取。 CVE-2022-1927 Vim是一款跨平臺的文本編輯器。Vim 8.2之前版本存在安全漏洞，該漏洞源于緩沖區過度讀取。 CVE-2022-2345 HP Support Assistant是美國惠普（HP）公司的一套為PC和打印機提供支持等功能的解決方案。HP Support Assistant存在安全漏洞，該漏洞源于存在潛在安全漏洞，攻擊者利用該漏洞可能導致特權升級、完整性受損、允許與不受信任的客戶端通信以及未經授權修改文件。 CVE-2022-2581 Apache OFBiz是美國阿帕奇（Apache）基金會的一套企業資源計劃（ERP）系統。該系統提供了一整套基于Java的Web應用程序組件和工具。Apache OFBiz 18.12.05及之前版本存在安全漏洞，攻擊者利用該漏洞可以在“Contact us”頁面“Subject”字段中插入惡意內容，然后可以進行 RCE。 CVE-2022-2126 Vim是一款跨平臺的文本編輯器。Vim 8.2 之前版本存在緩沖區錯誤漏洞，該漏洞源于存在越界讀取。 CVE-2022-1898 Vim是一款跨平臺的文本編輯器。Vim 8.2之前版本存在安全漏洞，該漏洞源于存在釋放后重用問題。 CVE-2022-1720 Vim是一款跨平臺的文本編輯器。Vim 8.2.4956之前版本存在緩沖區錯誤漏洞，該漏洞源于 grab_file_name 函數存在緩沖區過度讀取情況，從而導致軟件崩潰、內存修改和可能的遠程執行。 CVE-2022-1674 Vim是一款跨平臺的文本編輯器。Vim 8.2.4938之前版本存在安全漏洞，該漏洞源于regexp.c：2733的vim_regexec_string函數中NULL指針取消引用。攻擊者利用該漏洞通過特制的輸入導致拒絕服務（應用程序崩潰）。 CVE-2022-2183 Vim是一款跨平臺的文本編輯器。Vim 8.2之前版本存在安全漏洞，該漏洞源于vim存在讀取越界情況。 CVE-2022-2124 Intel PROSet/Wireless WiFi Software是美國英特爾（Intel）公司的一款無線網卡驅動程序。Intel PROSet/Wireless WiFi Software 存在安全漏洞，該漏洞源于越界讀取。 CVE-2022-2344 Fortinet FortiOS是美國飛塔（Fortinet）公司的一套專用于FortiGate網絡安全平臺上的安全操作系統。該系統為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內容過濾和反垃圾郵件等多種安全功能。Fortinet FortiOS 6.2.0至6.2.11版本，6.4.0至6.4.8版本，7.0.0至7.0.5版本存在安全漏洞，該漏洞源于一個不恰當的訪問控制漏洞可能允許具有限制性用戶配置文件的認證攻擊者通過CLI命令收集有關其他VDOM的檢查和信息。 CVE-2022-1735 Vim是一款跨平臺的文本編輯器。Vim 8.2之前版本存在安全漏洞，攻擊者利用該漏洞可以導致緩沖區溢出。 CVE-2022-1733 Vim是一款跨平臺的文本編輯器。Vim 8.2 之前版本存在安全漏洞，該漏洞源于存在基于堆的緩沖區溢出。 CVE-2022-2206 Qualcomm Core是美國高通（Qualcomm）公司的一個用于處理器上的核心支撐固件。Qualcomm Core 存在安全漏洞，該漏洞源于引導重新映射器中的配置不正確，Core 中的內存損壞，以下產品和版本受到影響：APQ8096AU、MDM9640、MDM9645、QCA6174、QCA6174A、QCA6574A、QCA6574AU、WCN3990。 CVE-2022-2849 Vim是一款跨平臺的文本編輯器。Vim 9.0.0219之前版本存在安全漏洞，該漏洞源于堆的緩沖區溢出。 CVE-2022-2129 Vim是一款跨平臺的文本編輯器。Vim 8.2 之前版本存在緩沖區錯誤漏洞，該漏洞源于存在越界寫入。 CVE-2022-2923 Vim是一款跨平臺的文本編輯器。Vim 9.0.0239之前版本存在代碼問題漏洞，該漏洞源于 NULL 指針取消引用。 CVE-2022-1796 Vim是一款跨平臺的文本編輯器。Vim 8.2.4979 之前版本存在資源管理錯誤漏洞，該漏洞源于應用中存在釋放后重用問題。 CVE-2022-2980 Vim是一款跨平臺的文本編輯器。Vim 9.0.0258 之前版本存在代碼問題漏洞，該漏洞源于NULL 指針取消引用。 CVE-2022-1851 Vim是一款跨平臺的文本編輯器。Vim 8.2 版本之前存在安全漏洞，該漏洞源于 Vim 中存在越界讀取問題。 CVE-2022-2175 Vim是一款跨平臺的文本編輯器。Vim 8.2之前版本存在安全漏洞，該漏洞源于應用存在緩沖區過度讀取。 CVE-2022-1942 Vim是一款跨平臺的文本編輯器。Vim 8.2 之前版本存在安全漏洞，該漏洞源于存在基于堆的緩沖區溢出。 CVE-2022-2571 Qualcomm 芯片是美國高通（Qualcomm）公司的芯片。一種將電路（主要包括半導體設備，也包括被動組件等）小型化的方式，并時常制造在半導體晶圓表面上。多款 Qualcomm 芯片存在安全漏洞，該漏洞源于對數據成員的不安全訪問，導致多媒體框架中的內存損壞。 2. 受影響的操作系統及軟件包 ·銀河麒麟桌面操作系統V10 SP1 2303 x86_64 架構： vim-athena、vim-common、vim-gtk3、vim-gui-common、vim-motif、vim-nox、vim-runtime、vim-tiny、vim、xxd arm64 架構： vim-athena、vim-common、vim-gtk3、vim-gui-common、vim-motif、vim-nox、vim-runtime、vim-tiny、vim、xxd mips64el 架構： vim-athena、vim-common、vim-gtk3、vim-gui-common、vim-motif、vim-nox、vim-runtime、vim-tiny、vim、xxd loongarch64 架構： vim-athena、vim-common、vim-gtk3、vim-gui-common、vim-motif、vim-nox、vim-runtime、vim-tiny、vim、xxd 3. 軟件包修復版本 ·銀河麒麟桌面操作系統V10 SP1 2303 2:9.0.0242-1kylin1k3.6 4. 修復方法 方法一：升級安裝 執行更新命令進行升級 $sudo apt update $sudo apt install vim 方法二：下載軟件包進行升級安裝 通過軟件包地址下載軟件包，使用軟件包升級命令根據受影響的軟件包列表升級相關的組件包。 $sudo dpkg -i /Path1/Package1 /Path2/Package2 /Path3/Package3…… 注：Path 指軟件包下載到本地的路徑，Package指下載的軟件包名稱，多個軟件包則以空格分開。 5. 軟件包下載地址 銀河麒麟桌面操作系統V10 SP1 2303 x86_64軟件包下載地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-athena_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gtk3_9.0.0242-1kylin1k3.6_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gui-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-motif_9.0.0242-1kylin1k3.6_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-nox_9.0.0242-1kylin1k3.6_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-runtime_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-tiny_9.0.0242-1kylin1k3.6_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim_9.0.0242-1kylin1k3.6_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/xxd_9.0.0242-1kylin1k3.6_amd64.deb arm64軟件包下載地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-athena_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gtk3_9.0.0242-1kylin1k3.6_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gui-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-motif_9.0.0242-1kylin1k3.6_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-nox_9.0.0242-1kylin1k3.6_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-runtime_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-tiny_9.0.0242-1kylin1k3.6_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim_9.0.0242-1kylin1k3.6_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/xxd_9.0.0242-1kylin1k3.6_arm64.deb mips64el軟件包下載地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-athena_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gtk3_9.0.0242-1kylin1k3.6_mips64el.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gui-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-motif_9.0.0242-1kylin1k3.6_mips64el.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-nox_9.0.0242-1kylin1k3.6_mips64el.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-runtime_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-tiny_9.0.0242-1kylin1k3.6_mips64el.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim_9.0.0242-1kylin1k3.6_mips64el.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/xxd_9.0.0242-1kylin1k3.6_mips64el.deb loongarch64軟件包下載地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-athena_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gtk3_9.0.0242-1kylin1k3.6_loongarch64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gui-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-motif_9.0.0242-1kylin1k3.6_loongarch64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-nox_9.0.0242-1kylin1k3.6_loongarch64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-runtime_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-tiny_9.0.0242-1kylin1k3.6_loongarch64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim_9.0.0242-1kylin1k3.6_loongarch64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/xxd_9.0.0242-1kylin1k3.6_loongarch64.deb 注：軟件包僅適用于銀河麒麟桌面操作系統V10 SP1 2303版本。 6. 修復驗證 使用軟件包查詢命令，查看相關的軟件包版本大于或等于修復版本則成功修復。 $sudo dpkg -l |grep Package 注：Package為軟件包包名。