Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2275-1 openoffice.org

Debians sikkerhedsbulletin

DSA-2275-1 openoffice.org -- stakbaseret bufferoverløb

Rapporteret den:

7. jul 2011

Berørte pakker:

openoffice.org

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.

Yderligere oplysninger:

Will Dormann og Jared Allar opdagede at importfilteret til Lotus Word Pro-filer i OpenOffice.org, en komplet kontorpakke som næsten fuldstændig kan erstatte Microsoft Office, ikke på korrekt vis håndterede objekt-id'er i .lwp-filformatet. En angriber kunne udnytte det med en særligt fremstillet fil og udføre vilkårlig kode med rettighederne hørende til offeret, som importerer filen.

Den gamle stabile distribution (lenny) er ikke påvirket at dette problem.

I den stabile distribution (squeeze), er dette problem rettet i version 1:3.2.1-11+squeeze3.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i libreoffice version 1:3.3.3-1.

Vi anbefaler at du opgraderer dine openoffice.org-pakker.