注： 1. 本公告所涉及的漏洞修复信息知识产权全部归麒麟软件有限公司所有，此安全漏洞补丁公告仅适用于麒麟软件操作系统通用主线产品，定制、OEM等版本可根据需要联系售后获取支持。任何媒体、网站或个人转载使用时不得进行商业性的原版原式的转载，也不得歪曲和篡改所发布的内容。此声明以及其修改权、更新权及最终解释权均归本网所有。 2. 此安全漏洞补丁公告仅适用于银河麒麟桌面操作系统V10 SP1 2303版本，系统版本查询工具下载链接： https://security-oss.kylinos.cn/Desktop/libkysdk-sysinfo.zip 1. 漏洞概述 CVE-2022-1968 Vim是一款跨平台的文本编辑器。Vim 8.2 之前版本存在安全漏洞，该漏洞源于存在释放后重用问题。 CVE-2022-2125 Vim是一款跨平台的文本编辑器。Vim 8.2 之前版本存在安全漏洞，该漏洞源于存在基于堆的缓冲区溢出。 CVE-2022-2304 Tiny File Manager是一款基于Web的开源文件管理器。Tiny File Manager 2.4.8版本存在跨站请求伪造漏洞，该漏洞源于容易受到 CSRF 的攻击，在服务器端处理上传的文件，并允许未经身份验证的用户访问上传的文件，攻击者利用该漏洞可以在服务器上远程执行任意代码。 CVE-2022-2946 Intel Converged Security and Management Engine（CSME）等都是美国英特尔（Intel）公司的产品。Intel Converged Security and Management Engine是一款安全管理引擎。Intel Server Platform Services（SPS）是一款服务器平台服务程序。Intel Active Management Technology（AMT）是一套以硬件为基础的计算机远程主动管理技术软件。Vim在打开某些文件时错误地处理了内存。如果攻击者能够诱骗用户打开特制的文件，则可能导致Vim崩溃，或者可能执行任意代码。 CVE-2022-1629 Vim是一款跨平台的文本编辑器。Vim 8.2.4925之前版本存在安全漏洞，该漏洞源于find_next_quote函数的缓冲区过度读取，从而导致软件崩溃、修改内存和远程执行。 CVE-2022-0413 Vim是一款基于UNIX平台的编辑器。vim 存在资源管理错误漏洞，该漏洞源于这个漏洞允许攻击者可利用该漏洞输入一个特别制作的文件，导致崩溃或代码执行。 CVE-2022-1785 Vim是一款跨平台的文本编辑器。Vim 8.2.4977 之前版本存在缓冲区错误漏洞，该漏洞源于越界写入。 CVE-2022-2845 Vim是一款跨平台的文本编辑器。Vim 9.0.0217之前版本存在安全漏洞，该漏洞源于缓冲区过度读取。 CVE-2022-1927 Vim是一款跨平台的文本编辑器。Vim 8.2之前版本存在安全漏洞，该漏洞源于缓冲区过度读取。 CVE-2022-2345 HP Support Assistant是美国惠普（HP）公司的一套为PC和打印机提供支持等功能的解决方案。HP Support Assistant存在安全漏洞，该漏洞源于存在潜在安全漏洞，攻击者利用该漏洞可能导致特权升级、完整性受损、允许与不受信任的客户端通信以及未经授权修改文件。 CVE-2022-2581 Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache OFBiz 18.12.05及之前版本存在安全漏洞，攻击者利用该漏洞可以在“Contact us”页面“Subject”字段中插入恶意内容，然后可以进行 RCE。 CVE-2022-2126 Vim是一款跨平台的文本编辑器。Vim 8.2 之前版本存在缓冲区错误漏洞，该漏洞源于存在越界读取。 CVE-2022-1898 Vim是一款跨平台的文本编辑器。Vim 8.2之前版本存在安全漏洞，该漏洞源于存在释放后重用问题。 CVE-2022-1720 Vim是一款跨平台的文本编辑器。Vim 8.2.4956之前版本存在缓冲区错误漏洞，该漏洞源于 grab_file_name 函数存在缓冲区过度读取情况，从而导致软件崩溃、内存修改和可能的远程执行。 CVE-2022-1674 Vim是一款跨平台的文本编辑器。Vim 8.2.4938之前版本存在安全漏洞，该漏洞源于regexp.c：2733的vim_regexec_string函数中NULL指针取消引用。攻击者利用该漏洞通过特制的输入导致拒绝服务（应用程序崩溃）。 CVE-2022-2183 Vim是一款跨平台的文本编辑器。Vim 8.2之前版本存在安全漏洞，该漏洞源于vim存在读取越界情况。 CVE-2022-2124 Intel PROSet/Wireless WiFi Software是美国英特尔（Intel）公司的一款无线网卡驱动程序。Intel PROSet/Wireless WiFi Software 存在安全漏洞，该漏洞源于越界读取。 CVE-2022-2344 Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。Fortinet FortiOS 6.2.0至6.2.11版本，6.4.0至6.4.8版本，7.0.0至7.0.5版本存在安全漏洞，该漏洞源于一个不恰当的访问控制漏洞可能允许具有限制性用户配置文件的认证攻击者通过CLI命令收集有关其他VDOM的检查和信息。 CVE-2022-1735 Vim是一款跨平台的文本编辑器。Vim 8.2之前版本存在安全漏洞，攻击者利用该漏洞可以导致缓冲区溢出。 CVE-2022-1733 Vim是一款跨平台的文本编辑器。Vim 8.2 之前版本存在安全漏洞，该漏洞源于存在基于堆的缓冲区溢出。 CVE-2022-2206 Qualcomm Core是美国高通（Qualcomm）公司的一个用于处理器上的核心支撑固件。Qualcomm Core 存在安全漏洞，该漏洞源于引导重新映射器中的配置不正确，Core 中的内存损坏，以下产品和版本受到影响：APQ8096AU、MDM9640、MDM9645、QCA6174、QCA6174A、QCA6574A、QCA6574AU、WCN3990。 CVE-2022-2849 Vim是一款跨平台的文本编辑器。Vim 9.0.0219之前版本存在安全漏洞，该漏洞源于堆的缓冲区溢出。 CVE-2022-2129 Vim是一款跨平台的文本编辑器。Vim 8.2 之前版本存在缓冲区错误漏洞，该漏洞源于存在越界写入。 CVE-2022-2923 Vim是一款跨平台的文本编辑器。Vim 9.0.0239之前版本存在代码问题漏洞，该漏洞源于 NULL 指针取消引用。 CVE-2022-1796 Vim是一款跨平台的文本编辑器。Vim 8.2.4979 之前版本存在资源管理错误漏洞，该漏洞源于应用中存在释放后重用问题。 CVE-2022-2980 Vim是一款跨平台的文本编辑器。Vim 9.0.0258 之前版本存在代码问题漏洞，该漏洞源于NULL 指针取消引用。 CVE-2022-1851 Vim是一款跨平台的文本编辑器。Vim 8.2 版本之前存在安全漏洞，该漏洞源于 Vim 中存在越界读取问题。 CVE-2022-2175 Vim是一款跨平台的文本编辑器。Vim 8.2之前版本存在安全漏洞，该漏洞源于应用存在缓冲区过度读取。 CVE-2022-1942 Vim是一款跨平台的文本编辑器。Vim 8.2 之前版本存在安全漏洞，该漏洞源于存在基于堆的缓冲区溢出。 CVE-2022-2571 Qualcomm 芯片是美国高通（Qualcomm）公司的芯片。一种将电路（主要包括半导体设备，也包括被动组件等）小型化的方式，并时常制造在半导体晶圆表面上。多款 Qualcomm 芯片存在安全漏洞，该漏洞源于对数据成员的不安全访问，导致多媒体框架中的内存损坏。 2. 受影响的操作系统及软件包 ·银河麒麟桌面操作系统V10 SP1 2303 x86_64 架构： vim-athena、vim-common、vim-gtk3、vim-gui-common、vim-motif、vim-nox、vim-runtime、vim-tiny、vim、xxd arm64 架构： vim-athena、vim-common、vim-gtk3、vim-gui-common、vim-motif、vim-nox、vim-runtime、vim-tiny、vim、xxd mips64el 架构： vim-athena、vim-common、vim-gtk3、vim-gui-common、vim-motif、vim-nox、vim-runtime、vim-tiny、vim、xxd loongarch64 架构： vim-athena、vim-common、vim-gtk3、vim-gui-common、vim-motif、vim-nox、vim-runtime、vim-tiny、vim、xxd 3. 软件包修复版本 ·银河麒麟桌面操作系统V10 SP1 2303 2:9.0.0242-1kylin1k3.6 4. 修复方法 方法一：升级安装 执行更新命令进行升级 $sudo apt update $sudo apt install vim 方法二：下载软件包进行升级安装 通过软件包地址下载软件包，使用软件包升级命令根据受影响的软件包列表升级相关的组件包。 $sudo dpkg -i /Path1/Package1 /Path2/Package2 /Path3/Package3…… 注：Path 指软件包下载到本地的路径，Package指下载的软件包名称，多个软件包则以空格分开。 5. 软件包下载地址 银河麒麟桌面操作系统V10 SP1 2303 x86_64软件包下载地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-athena_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gtk3_9.0.0242-1kylin1k3.6_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gui-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-motif_9.0.0242-1kylin1k3.6_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-nox_9.0.0242-1kylin1k3.6_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-runtime_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-tiny_9.0.0242-1kylin1k3.6_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim_9.0.0242-1kylin1k3.6_amd64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/xxd_9.0.0242-1kylin1k3.6_amd64.deb arm64软件包下载地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-athena_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gtk3_9.0.0242-1kylin1k3.6_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gui-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-motif_9.0.0242-1kylin1k3.6_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-nox_9.0.0242-1kylin1k3.6_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-runtime_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-tiny_9.0.0242-1kylin1k3.6_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim_9.0.0242-1kylin1k3.6_arm64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/xxd_9.0.0242-1kylin1k3.6_arm64.deb mips64el软件包下载地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-athena_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gtk3_9.0.0242-1kylin1k3.6_mips64el.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gui-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-motif_9.0.0242-1kylin1k3.6_mips64el.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-nox_9.0.0242-1kylin1k3.6_mips64el.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-runtime_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-tiny_9.0.0242-1kylin1k3.6_mips64el.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim_9.0.0242-1kylin1k3.6_mips64el.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/xxd_9.0.0242-1kylin1k3.6_mips64el.deb loongarch64软件包下载地址 http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-athena_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gtk3_9.0.0242-1kylin1k3.6_loongarch64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-gui-common_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-motif_9.0.0242-1kylin1k3.6_loongarch64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-nox_9.0.0242-1kylin1k3.6_loongarch64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-runtime_9.0.0242-1kylin1k3.6_all.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim-tiny_9.0.0242-1kylin1k3.6_loongarch64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/vim_9.0.0242-1kylin1k3.6_loongarch64.deb http://archive.kylinos.cn/kylin/KYLIN-ALL/pool/main/v/vim/xxd_9.0.0242-1kylin1k3.6_loongarch64.deb 注：软件包仅适用于银河麒麟桌面操作系统V10 SP1 2303版本。 6. 修复验证 使用软件包查询命令，查看相关的软件包版本大于或等于修复版本则成功修复。 $sudo dpkg -l |grep Package 注：Package为软件包包名。