GLSA 200405-04: OpenOffice.org vulnerability when using DAV servers
Опасность: | высокая |
Заголовок: | OpenOffice.org vulnerability when using DAV servers |
Дата: | 11.05.2004 |
Ошибки: |
|
ID: | 200405-04 |
Сводка
Several format string vulnerabilities are present in the Neon library included in OpenOffice.org, allowing remote execution of arbitrary code when connected to an untrusted WebDAV server.Назначение
OpenOffice.org is an office productivity suite, including word processing, spreadsheets, presentations, drawings, data charting, formula editing, and file conversion facilities.
Уязвимые пакеты
Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
---|---|---|---|
app-office/openoffice | <= 1.1.1 | >= 1.1.1-r1 | x86 |
app-office/openoffice | <= 1.0.3-r1 | >= 1.0.3-r2 | ppc |
app-office/openoffice | <= 1.1.0-r3 | >= 1.1.0-r4 | sparc |
app-office/openoffice-ximian | <= 1.1.51 | >= 1.1.51-r1 | All supported architectures |
app-office/openoffice-bin | < 1.1.2 | >= 1.1.2 | All supported architectures |
app-office/openoffice-ximian-bin | <= 1.1.52 | All supported architectures |
Описание
OpenOffice.org includes code from the Neon library in functions related to publication on WebDAV servers. This library is vulnerable to several format string attacks.
Воздействие
If you use the WebDAV publication and connect to a malicious WebDAV server, this server can exploit these vulnerabilities to execute arbitrary code with the rights of the user running OpenOffice.org.
Обход
As a workaround, you should not use the WebDAV publication facilities.
Решение
There is no Ximian OpenOffice.org binary version including the fix yet. All users of the openoffice-ximian-bin package making use of the WebDAV openoffice-ximian source-based package.
openoffice users on the x86 architecture should:
# emerge sync # emerge -pv ">=app-office/openoffice-1.1.1-r1" # emerge ">=app-office/openoffice-1.1.1-r1"
openoffice users on the sparc architecture should:
# emerge sync
# emerge -pv ">=app-office/openoffice-1.1.0-r3"
# emerge ">=app-office/openoffice-1.1.0-r3"
openoffice users on the ppc architecture should:
# emerge sync
# emerge -pv ">=app-office/openoffice-1.0.3-r1"
# emerge ">=app-office/openoffice-1.0.3-r1"
openoffice-ximian users should:
# emerge sync
# emerge -pv ">=app-office/openoffice-ximian-1.1.51-r1"
# emerge ">=app-office/openoffice-ximian-1.1.51-r1"
openoffice-bin users should:
# emerge sync
# emerge -pv ">=app-office/openoffice-bin-1.1.2"
# emerge ">=app-office/openoffice-bin-1.1.2"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.