Säkerhetsbulletin från Debian

DSA-3394-1 libreoffice -- säkerhetsuppdatering

Rapporterat den:

2015-11-05

Berörda paket:

libreoffice

Sårbara:

Referenser i säkerhetsdatabaser:

Ytterligare information:

Flera sårbarheter har upptäckts i LibreOffice, en fullfjädrad kontorsproduktivitetsuppsättning:

CVE-2015-4551
Federico Scrinzi upptäckte ett informationsläckage i hanteringen av ODF-dokument, citat från https://www.libreoffice.org/about-us/security/advisories/cve-2015-4551/: LinkUpdateMode-funktionaliteten kontrollerar om dokument som lagts in i Writer eller Calc via länkar antingen inte kommer att uppdateras, eller fråga om uppdatering, eller uppdateras automatiskt, när föräldradokumentet laddas. Konfigurationen av detta alternativ lagrades i dokumentet. Detta bristfälliga tillvägagångssätt möjliggör för dokument att skapas med länkar till lämpliga mål på offrets värddator. Innehållet i dessa länkar som sätts in automatiskt efter laddning kan döljas i gömda sektioner och hämtas av angriparen om dokumentet sparas och returneras till avsändaren, eller via http-förfrågningar om användaren har valt lägre säkerhetsinställningar för det dokumentet.
CVE-2015-5212
Ett buffertspill i tolkningen av skrivarinställningsinformation i ODF-dokument kan resultera i körning av godtycklig kod.
CVE-2015-5213 / CVE-2015-5214
Ett buffertspill och ett heltalsspill vid tolkning av Microsoft Word-dokument kan leda till körning av illasinnad kod.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 1:3.5.4+dfsg2-0+deb7u5.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1:4.3.3-2+deb8u2.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 1:5.0.2-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1:5.0.2-1.

Vi rekommenderar att ni uppgraderar era libreoffice-paket.