Salut, Une nouvelle annonce de sécurité a été publiée, par avance merci pour vos relectures.
Amicalement David
#use wml::debian::translation-check translation="1.2" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs problèmes concernant la sécurité ont été découverts dans le paquet OpenOffice.org, permettant à des documents trafiqués de piéger le système pour le planter ou même exécuter du code arbitraire. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3450";>CVE-2010-3450</a> <p> Au cours d'un contrôle de sécurité interne avec Red Hat, une vulnérabilité de traversée de répertoires a été découverte dans la façon dont OpenOffice.org 3.1.1 à 3.2.1 traite les fichier filtre XML. Si un utilisateur local est piégé dans l'ouverture d'un fichier paquet de filtres OOo XML intentionnellement trafiqué, ce problème permettrait à des attaquants distants de créer ou écraser des fichiers arbitraires appartenant à l'utilisateur local ou, potentiellement, d'exécuter du code arbitraire. </p> </li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3451";>CVE-2010-3451</a> <p> En travaillant en tant que consultant pour Virtual Security Research (VSR), Dan Rosenberg a découvert une vulnérabilité dans la fonctionnalité d'analyse RTF d'OpenOffice.org. L'ouverture d'un document RTF trafiqué de façon malveillante peut provoquer une lecture de mémoire hors limites dans la mémoire de tas précédemment allouée, ce qui pourrait conduire à l'exécution de code arbitraire. <p> </li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3452";>CVE-2010-3452</a> <p> Dan Rosenberg a découvert une vulnérabilité dans l'analyse de fichier RTF qui peut augmenter le risque d'exécution de code arbitraire pour des attaquants capables de convaincre une victime d'ouvrir un fichier RTF trafiqué de façon malveillante. <p> </li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3453";>CVE-2010-3453</a> <p> Dans le cadre de son travail pour Virtual Security Research, Dan Rosenberg a découvert une vulnérabilité dans la fonction WW8ListManager::WW8ListManager() d'OpenOffice.org qui permet à un fichier RTF trafiqué de façon malveillante de provoquer l'exécution de code arbitraire. <p> </li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3454";>CVE-2010-3454</a> <p> Dans le cadre de son travail pour Virtual Security Research, Dan Rosenberg a découvert une vulnérabilité dans la fonction WW8DopTypography::ReadFromMem() d'OpenOffice.org qui pourrait être exploitée à l'aide d'un fichier RTF trafiqué de façon malveillante en permettant à un attaquant de contrôler le déroulement du programme et potentiellement exécuter du code arbitraire. <p> </li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-3689";>CVE-2010-3689</a> <p> Dmitri Gribenko a découvert que le script soffice ne traite pas une variable LD_LIBRARY_PATH vide comme non configurée, ce qui peut conduire à l'exécution de code arbitraire. <p> </li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4253";>CVE-2010-4253</a> <p> Un débordement de tampon basé sur le tas dont les conséquences ne sont pas connues a été découvert. <p> </li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2010-4643";>CVE-2010-4643</a> <p> Une vulnérabilité à été découverte dans la façon dont OpenOffice.org traite les graphiques TGA ce qui peut être utilisé dans un fichier TGA trafiqué dans le but de planter le programme à cause d'un débordement de tampon basé sur le tas dont les conséquences ne sont pas connues. <p> </li> </ul> <p> Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 2.4.1+dfsg-1+lenny11. </p> <p> Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.2.1-11+squeeze1. </p> <p> Pour la distribution experimental, ces problèmes ont été corrigés dans la version 3.3.0~rc3-1. </p> <p> Nous vous recommandons de mettre à jour vos paquets OpenOffice.org. </p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2011/dsa-2151.data"
signature.asc
Description: OpenPGP digital signature
