Objet: Vulnérabilité d’OpenOffice et StarOffice

Risque

Atteinte à l'intégrité des données.

Systèmes affectés

• StarOffice 7 ;
• OpenOffice 1.1.2.

Description

OpenOffice et StarOffice sont deux suites bureautiques.

OpenOffice et StarOffice ne gèrent pas correctement les droits d'accès lors de la création des fichiers temporaires. Un utilisateur mal intentionné peut exploiter cette vulnérabilité pour accéder aux données d'un tiers.

Contournement provisoire

Positionner la variable d'environnement $UMASK permettant de positionner le droits d'accès par défaut ou positionner les variables d'environnement $TMPDIR vers un répertoire fils du répertoire $HOME de l'utilisateur.

Solution

Se référer aux différents bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section documentation).

Documentation

• Site d'OpenOffice :

  http://www.openoffice.org
  

• Correctif pour StarOffice (Solaris/x86) :

  http://sunsolve.sun.com/search/advsearch.do?collection=PATCH&type=collections&max=50&language=en&queryKey5=117073&toDocument=yes
  

• Correctif pour StarOffice (Solaris/sparc) :

  http://sunsolve.sun.com/search/advsearch.do?collection=PATCH&type=collections&max=50&language=en&queryKey5=116519&toDocument=yes
  

• Correctif pour StarOffice (Linux) :

  http://sunsolve.sun.com/search/advsearch.do?collection=PATCH&type=collections&max=50&language=en&queryKey5=116518&toDocument=yes
  

• Bulletin de sécurité Secunia SA12302 du 13 septembre 2004 :

  http://secunia.com/advisories/12302
  

• Bulletin de sécurité Red Hat RHSA-2004:446 du 15 septembre 2004 :

  http://rhn.redhat.com/errata/RHSA-2004-446.html
  

• Bulletin de sécurité Mandrake MDKSA-2004:103 du 27 septembre 2004 :

  http://www.mandrakesoft.com/security/advisories?name=MDKSA-2004:103
  

• Bulletin de sécurité Gentoo GLSA-200410-17 du 20 octobre 2004 :

  http://www.gentoo.org/security/en/glsa/glsa-200410-17.xml
  

• Référence CVE CAN-2004-0752 :

  https://www.cve.org/CVERecord?id=CAN-2004-0752