1. Bulletin de Sécurité Gentoo
| Référence | GLSA 200603-25 / openoffice openoffice-bin |
| Date de Parution | 27 Mars 2006 |
| Impact | Normal |
| Exploitabilité | Distante |
2. Versions affectées
| Package | Vulnérables | Non-affectées | Architecture(s) |
| app-office/openoffice-bin | < 2.0.2 | >= 2.0.2 | Toutes |
| app-office/openoffice | < 2.0.1-r1 | >= 2.0.1-r1 | Toutes |
3. Synopsis
OpenOffice.org contient un buffer overflow, dans la libcurl fournie, pouvant entraîner l'exécution d'une portion de code arbitraire.
4. InformationsOpenOffice.org est une suite de logiciels libres incluant en particulier un traitement de texte, un tableur, un gestionnaire de présentations, un créateur de graphiques, et un éditeur de formules. cURL est un outil en ligne de commande permettant le transfert de fichiers via de multiples protocoles. libcurl est la librairie client correspondante.
5. Description
OpenOffice.org inclut du code de la libcurl. Ce code est vulnérable à un dépassement de buffer mis en évidence lors du traitement d'urls de plus de 256 caractères (GLSA 200512-09).
6. Impact de la faille
En incitant un utilisateur d'openoffice.org à accéder à une URL spécifiquement forgée, il est possible de faire exécuter par ce dernier une portion de code arbitraire.
7. Solution de contournement
Il n'existe aucune solution de contournement à l'heure actuelle.
8. Correction de la faille
Il est recommandé aux utilisateurs des packages binaires de OpenOffice.org de mettre à jour ces derniers.
# emerge --sync # emerge --ask --oneshot --verbose ">=app-office/openoffice-bin-2.0.2"
Il est recommandé aux autres utilisateurs des OpenOffice.org de mettre à jour ce dernier.
# emerge --sync # emerge --ask --oneshot --verbose ">=app-office/openoffice-2.0.1-r1"
9. Références