Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 10 juin 2008

N° CERTA-2008-AVI-300

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans OpenOffice.org

Gestion du document

Référence	CERTA-2008-AVI-300
Titre	Vulnérabilité dans OpenOffice.org
Date de la première version	10 juin 2008
Date de la dernière version	25 juin 2008
Source(s)	Bulletin de sécurité OpenOffice.org CVE-2008-2152

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance

Systèmes affectés

OpenOffice.org de la version 2.0 à la version 2.4.

Résumé

Une vulnérabilité dans OpenOffice.org permet l'exécution de code arbitraire à distance.

Description

Une vulnérabilité a été découverte dans la fonction d'allocation de la mémoire utilisée par OpenOffice.org. Un utilisateur malintentionné peut, par le biais d'un document OpenOffice.org spécifiquement constitué, exécuter du code arbitraire à distance.

Solution

Mettre OpenOffice.org à jour en version 2.4.1 (cf. section Documentation).

Documentation

Bulletin de sécurité OpenOffice.org CVE-2008-2152

http://www.openoffice.org/security/cves/CVE-2008-2152.html

Bulletin de sécurité Red Hat RHSA-2008:0538-7 du 12 juin 2008 :

http://rhn.redhat.com/errata/RHSA-2008-0538.html

Téléchargement de la dernière version d'OpenOffice.org :

http://download.openoffice.org/index.html

Référence CVE CVE-2008-2152

https://www.cve.org/CVERecord?id=CVE-2008-2152

Gestion détaillée du document

le 10 juin 2008: version initiale.
le 11 juin 2008: remplacement de OpenOffice par OpenOffice.org.
le 25 juin 2008: ajout de la référence au bulletin de sécurité Red Hat.