Objet: Vulnérabilité dans KOffice/KWord

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

KOffice 1.x.

Résumé

Une vulnérabilité dans KOffice permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

KOffice est une suite bureautique pour KDE.

Le logiciel de traitement de texte KWord pour KOffice présente une vulnérabilité de type débordement de mémoire. Cette vulnérabilité peut être exploitée à distance afin d'exécuter du code arbitraire au moyen d'un fichier au format RTF malicieusement construit.

Solution

Se référer aux bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité KOffice du 11 octobre 2005 :

  http://www.koffice.org/security/advisory-20051011-1.txt
  

• Bulletin de sécurité Gentoo GLSA 200510-12 du 14 octobre 2005 :

  http://www.gentoo.org/security/en/glsa/glsa-200510-12.xml
  

• Bulletin de sécurité Debian DSA-872 du 26 octobre 2005 :

  http://www.debian.org/security/2005/dsa-872
  

• Bulletin de sécurité Ubuntu USN-202 du 12 octobre 2005 :

  http://www.ubuntu.com/usn/usn-202-1
  

• Mise à jour de sécurité Fedora Core 3 du 17 octobre 2005 :

  http://download.fedora.redhat.com/pub/fedora/linux/core/updates/3/
  

• Bulletin de sécurité SuSE SUSE-SR:2005:025 du 04 novembre 2005 :

  http://lists.suse.com/archive/suse-security-announce/2005-Nov/0001.html
  

• Référence CVE CAN-2005-2971 :

  https://www.cve.org/CVERecord?id=CAN-2005-2971