Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
Systèmes affectés
- les versions d'OpenOffice.org 2.0.x antérieures à 2.0.3 ;
- OpenOffice.org version 1.1.5 ;
- StarOffice version 6 Office Suite ;
- StarOffice version 7 ;
- StarOffice version 8 Office Suite ;
- StarSuite version 7 ;
- StarSuite version 8.
Description
Une vulnérabilité a été identifiée dans les logiciels de bureautique StarOffice et OpenOffice.org. Un utilisateur malveillant peut créer un document au format XML spécialement conçu. Si celui-ci est ouvert par des applications comme Calc, Draw, Impress, Math ou Writer, il peut créer un débordement de pile et exécuter des commandes arbitraires sur le système vulnérable.
Solution
Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Sun Microsystems http://sunsolve.sun.com/search/document.do?assetkey=1-26-102501-1
- Avis du CERTA CERTA-2006-AVI-271-001 associé : http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-271/
- Mise à jour d'OpenOffice.org du 07 juillet 2006 : http://download.openoffice.org/
- Référence CVE CVE-2006-3117 https://www.cve.org/CVERecord?id=CVE-2006-3117