OpenOffice: Sicherheitslücke bei Doc-Dateien

Möchtet ihr unsere Testberichte ergänzen oder kritisieren?
[contribute information to our reviews]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34991
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

OpenOffice: Sicherheitslücke bei Doc-Dateien

Beitrag von doelf » 15 Apr 2005, 00:18

Eine Sicherheitslücke bei der Verarbeitung des Headers von Doc-Dateien kann in allen Versionen des OpenOffice zu einem Buffer-Überlauf führen und somit zum Einschleusen fremden Codes genutzt werden. Der Fehler liegt in der Funktion StgCompObjStream::Load() und wurde nicht nur in allen Versionen der Generation 1.x.x bis einschließlich 1.1.4 nachgewiesen, sondern ist auch in den aktuellen 2.0 Beta-Versionen enthalten.

Der Fehler wurde bei OpenOffice.org dokumentiert und ein Fix wurde bereits erstellt. Er soll in den nächsten Tagen veröffentlicht werden.

Für die Linux Distribution Fedora Core 3 sind heute bereits die entsprechenden Updates erschienen:

http://download.fedora.redhat.com/pub/f ... c3.src.rpm
http://download.fedora.redhat.com/pub/f ... 3.i386.rpm
http://download.fedora.redhat.com/pub/f ... 3.i386.rpm
http://download.fedora.redhat.com/pub/f ... 3.i386.rpm
http://download.fedora.redhat.com/pub/f ... 3.i386.rpm
http://download.fedora.redhat.com/pub/f ... 3.i386.rpm
http://download.fedora.redhat.com/pub/f ... 3.i386.rpm
http://download.fedora.redhat.com/pub/f ... 3.i386.rpm
http://download.fedora.redhat.com/pub/f ... 3.i386.rpm

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34991
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Beitrag von doelf » 15 Apr 2005, 10:39

Security Patch für OpenOffice.org 1.1.4

Der angekündigte Patch für die Sicherheitslücke beim Import von Doc-Dateien im OpenOffice-Paket ist ab sofort für Windows, Linux, Solaris und Mac OS X verfügbar. Ein Update wird empfohlen!

Download + Guide: Security Patch für OpenOffice.org 1.1.4
https://www.au-ja.de/guide-openoffice114patch-1.phtml

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34991
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

OpenOffice.org Developer Snapshot Build 1.9.m95

Beitrag von doelf » 24 Apr 2005, 17:49

Nachdem eine Sicherheitslücke beim Import von DOC-Dateien im OpenOffice-Paket entdeckt worden war, folgte schnell ein Update für die aktuelle Version 1.1.4. Nun gibt es auch eine berichtigte 2.0 Beta. Auf der bekannten Webseite der OpenOffice.org 2.0 Snapshot Builds kann man den neuen OpenOffice.org Developer Snapshot Build 1.9.m95 herunterladen. Dieser berichtigt zwar den Fehler beim DOC-Import, da es sich jedoch auch weiterhin um eine Beta-Version handelt, ist mit weiteren Problemen zu rechnen, so daß wir vom Einsatz auf Arbeitsplattformen abraten möchten.

Quelle: http://download.openoffice.org/680/index.html

Antworten