Vulnérabilités dans libwpd

Gestion du document

Référence	CERTA-2007-AVI-135-001
Titre	Vulnérabilités dans libwpd
Date de la première version	21 mars 2007
Date de la dernière version	27 mars 2007
Source(s)	Nouvelle du 16 mars 2007 sur le site de libwpd
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

libwpd versions 0.8.8 et antérieures.

Résumé

Plusieurs vulnérabilités dans libwpd permettent l'exécution de code arbitraire à distance.

Description

libwpd est une bibliothèque C++ qui permet le traitement des documents WordPerfect. Elle est utilisée notamment par OpenOffice depuis la version 2.0, par KOffice depuis la version 1.4 et par AbiWord depuis la version 2.2.

Plusieurs vulnérabilités ont été découvertes dans libwpd. Un attaquant peut, par le biais d'un document WordPerfect spécifiquement constitué, exécuter du code arbitraire à distance.

Solution

Mettre à jour libwpd en version 0.8.9.

Documentation

Site de libwpd :
```
http://libwpd.sourceforge.net/
```
Bulletin de sécurité Debian DSA-1268 du 17 mars 2007 :
```
http://www.debian.org/security/2007/dsa-1268
```
Bulletin de sécurité Debian DSA-1270 du 20 mars 2007 :
```
http://www.debian.org/security/2007/dsa-1270
```

Bulletin de sécurité SuSE SUSE-SA:2007:023 du 21 mars 2007 :

http://lists.suse.com/archive/suse-security-announce/2007-Mar/0007.html

Bulletin de sécurité Ubuntu USN-437-1 du 19 mars 2007 :
```
http://www.ubuntu.com/usn/usn-437-1
```

Référence CVE CVE-2007-0002 :

https://www.cve.org/CVERecord?id=CVE-2007-0002

Gestion détaillée du document

le 21 mars 2007: version initiale.

le 27 mars 2007: ajout des références aux bulletins de sécurité Debian, SuSE, Ubuntu.

Avis du CERT-FR

Objet: Vulnérabilités dans libwpd