Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3394-1 libreoffice

Bulletin d'alerte Debian

DSA-3394-1 libreoffice -- Mise à jour de sécurité

Date du rapport :

5 novembre 2015

Paquets concernés :

libreoffice

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-4551, CVE-2015-5212, CVE-2015-5213, CVE-2015-5214.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans LibreOffice, une suite complète de productivité bureautique :

• CVE-2015-4551

  Federico Scrinzi a découvert une fuite d'informations dans le traitement des documents ODF. Selon https://www.libreoffice.org/about-us/security/advisories/cve-2015-4551/, la fonction LinkUpdateMode contrôle si les documents insérés dans Writer ou Calc à l'aide de liens seront soit non mis à jour, soit mis à jour après un avertissement, soit mis à jour automatiquement quand le document parent est ouvert. La configuration de cette option était stockée dans le document. Cette approche fautive permettait que les documents soient contrefaits avec des liens vers des cibles plausibles sur la machine hôte des victimes. Le contenu de ces liens automatiquement insérés après ouverture peut être dissimulé dans des sections cachées et récupéré par l'attaquant si le document est sauvegardé et retourné à l'expéditeur, ou grâce à des requêtes http, si l'utilisateur a choisi le niveau de sécurité le plus bas pour ce document.

• CVE-2015-5212

  Un dépassement de tampon dans l'analyse des informations de configuration de l'imprimante dans les documents ODF peut avoir comme conséquence l'exécution de code arbitraire.

• CVE-2015-5213 / CVE-2015-5214

  Un dépassement de tampon et un dépassement d'entier dans l'analyse des documents Microsoft Word peuvent avoir comme conséquence l'exécution de code arbitraire.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 1:3.5.4+dfsg2-0+deb7u5.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1:4.3.3-2+deb8u2.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 1:5.0.2-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1:5.0.2-1.

Nous vous recommandons de mettre à jour vos paquets libreoffice.