Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance.
Systèmes affectés
- OpenOffice.org version 1.1.5 ;
- les versions d'OpenOffice.org 2.0.x antérieures à 2.0.3 ;
- StarOffice version 6 Office Suite ;
- StarOffice version 7 ;
- StarSuite version 7 ;
- StarOffice version 8 Office Suite ;
- StarSuite version 8.
Description
Une vulnérabilité a été identifiée dans les logiciels de bureautique StarOffice et OpenOffice.org. Un utilisateur malveillant peut créer un document au format XML spécialement conçu. Si celui-ci est ouvert par des applications comme Calc, Draw, Impress, Math ou Writer, il peut créer un débordement de pile et exécuter des commandes arbitraires sur le système vulnérable.
Solution
Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Référence CVE CVE-2006-3117 :
https://www.cve.org/CVERecord?id=CVE-2006-3117
- Bulletin de sécurité Sun Microsystems du 30 juin 2006 :
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102501-1
- Mise à jour d'OpenOffice.org du 07 juillet 2006 :
http://download.openoffice.org/
- Avis du CERTA CERTA-2006-AVI-271-001 associé :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-271/