Информация по безопасности / 2015 / Информация о безопасности -- DSA-3394-1 libreoffice

Рекомендация Debian по безопасности

DSA-3394-1 libreoffice -- обновление безопасности

Дата сообщения:

05.11.2015

Затронутые пакеты:

libreoffice

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-4551, CVE-2015-5212, CVE-2015-5213, CVE-2015-5214.

Более подробная информация:

В LibreOffice, полнофункциональном наборе для офисной работы, были обнаружены многочисленные уязвимости:

• CVE-2015-4551

  Федерико Скринци обнаружил утечку информации в коде обработки документов в формате ODF. Цитата с https://www.libreoffice.org/about-us/security/advisories/cve-2015-4551/: возможность LinkUpdateMode управляет тем, будут ли вставленные с помощью ссылок документы в Writer или Calc оставлены без обновления, либо будет произведён запрос об обновлении, либо они будут автоматически обновлены в случае загрузки родительского документа. Настройка этой опции хранится в самом документе. Это позволяет создать специально сформированные документы со ссылками на вероятные цели на компьютере жертвы. Содержимое таких автоматически вставленных целей после загрузки ссылок может быть скрыто в скрытых разделах и получено злоумышленником, если документ будет сохранён и передан обратно отправителю, либо через http-запросы в случае, если пользователь выбрал более слабые параметры безопасности для этого документа.

• CVE-2015-5212

  Переполнение буфера в коде для грамматического разбора информации о настройках принтера в документах в формате ODF может приводить к выполнению произвольного кода.

• CVE-2015-5213 / CVE-2015-5214

  Переполнение буфера и динамической памяти в коде для грамматического разбора документов в формате Microsoft Word может приводить к выполнению произвольного кода.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1:3.5.4+dfsg2-0+deb7u5.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1:4.3.3-2+deb8u2.

В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 1:5.0.2-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1:5.0.2-1.

Рекомендуется обновить пакеты libreoffice.