Debians sikkerhedsbulletin

DSA-3394-1 libreoffice -- sikkerhedsopdatering

Rapporteret den:

5. nov 2015

Berørte pakker:

libreoffice

Sårbar:

Referencer i sikkerhedsdatabaser:

Yderligere oplysninger:

Flere sårbarheder er opdaget i LibreOffice, et komplet kontorpakke:

CVE-2015-4551
Federico Scrinzi opdagede en informationslækage i håndteringen af ODF-dokumenter. Citat fra https://www.libreoffice.org/about-us/security/advisories/cve-2015-4551/: LinkUpdateMode-funktionen kontrollerer hvorvidt dokumenter indsat i Writer eller Calc gennem links, enten ikke bliver opdateret, beder om at blive opdateret eller automatisk opdateret, når et ophavsdokument indlæses. Opsætningen af valgmuligheden blev gemt i dokumentet. Denne fejlbehæftede metode, gjorde det muligt at fabrikere dokumenter med links til plausible mål på offerets værtscomputeret. Indholdet af disse automatisk indsatte links efter indlæsning, kunne være tilsløret i skjulte afsnit, og hentes af angriberen, hvis dokumentet blev gemt og sendt tilbage til afsenderen, eller gennem http-forespørgsler, hvis brugeren havde valgt lavere sikkerhedsindstillinger for dokumentet.
CVE-2015-5212
Et bufferoverløb i fortolkningen af printeropsætningsoplysninger i ODF-dokumenter, kunne medføre udførelse af vilkårlig kode.
CVE-2015-5213 / CVE-2015-5214
Et bufferoverløb og heltalsoverløb i fortolkningen af Microsoft Word-dokumenter, kunne medføre udførelse af vilkårlig kode.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 1:3.5.4+dfsg2-0+deb7u5.

I den stabile distribution (jessie), er disse problemer rettet i version 1:4.3.3-2+deb8u2.

I distributionen testing (stretch), er disse problemer rettet i version 1:5.0.2-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1:5.0.2-1.

Vi anbefaler at du opgraderer dine libreoffice-pakker.