S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 18 avril 2008 No CERTA-2008-AVI-218-001

Affaire suivie par :

CERTA

Objet : Multiples vulnérabilités dans OpenOffice.org

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

Toutes les versions antérieures à la version 2.4.

3 Résumé

Plusieurs vulnérabilités dans la suite bureautique OpenOffice.org ont été découvertes et permettent à une personne malveillante d'exécuter du code arbitraire à distance.

4 Description

Plusieurs vulnérabilités dans le traitement des fichiers EMF, ODF, Quattro Pro et OLE d'OpenOffice.org ont été découvertes. Elles permettent à une personne malveillante d'exécuter du code arbitraire à distance.

5 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Bulletin de sécurité OpenOffice CVE-2007-4770 :

  http://www.openoffice.org/security/cves/CVE-2007-4770.html
  

• Bulletin de sécurité OpenOffice CVE-2007-4771 :

  http://www.openoffice.org/security/cves/CVE-2007-4771.html
  

• Bulletin de sécurité OpenOffice CVE-2007-5745 :

  http://www.openoffice.org/security/cves/CVE-2007-5745.html
  

• Bulletin de sécurité OpenOffice CVE-2007-5746 :

  http://www.openoffice.org/security/cves/CVE-2007-5746.html
  

• Bulletin de sécurité OpenOffice CVE-2007-5747 :

  http://www.openoffice.org/security/cves/CVE-2007-5747.html
  

• Bulletin de sécurité OpenOffice CVE-2008-0320 :

  http://www.openoffice.org/security/cves/CVE-2008-0320.html
  

• Bulletin de sécurité Gentoo GLSA-200803-20 du 11 mars 2008 :

  http://www.gentoo.org/security/en/glsa/glsa-200803-20.xml
  

• Bulletin de sécurité Gentoo GLSA-200805-16 du 14 mai 2008 :

  http://www.gentoo.org/security/en/glsa/glsa-200805-16.xml
  

• Bulletin de sécurité Debian DSA-1511 du 03 mars 2008 :

  http://www.debian.org/security/2008/dsa-1511
  

• Bulletin de sécurité Debian DSA-1547 du 17 avril 2008 :

  http://www.debian.org/security/2008/dsa-1547
  

• Bulletin de sécurité RedHat RHSA-2008:0175 du 17 avril 2008 :

  http://rhn.redhat.com/errata/RHSA-2008-0175.html
  

• Bulletin de sécurité RedHat RHSA-2008:0176 du 17 avril 2008 :

  http://rhn.redhat.com/errata/RHSA-2008-0176.html
  

• Bulletin de sécurité RedHat RHSA-2008:0090 du 25 janvier 2008 :

  http://rhn.redhat.com/errata/RHSA-2008-0090.html
  

• Bulletin de sécurité Ubuntu USN-591-1 du 24 mars 2008 :

  http://www.ubuntu.com/usn/usn-591-1
  

• Bulletin de sécurité Ubuntu USN-609-1 du 06 mai 2008 :

  http://www.ubuntu.com/usn/usn-609-1
  

• Bulletin de sécurité SuSE SUSE-SA:2008:023 du 18 avril 2008 :

  http://www.novell.com/linux/security/advisories/2008_23_openoffice.html
  

• Bulletin de sécurité SuSE SUSE-SR:2008:005 du 06 mars 2008 :

  http://lists.opensuse.org/opensuse-security-announce/2008-03/msg00001.html
  

• Référence CVE CVE-2007-4770 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4770
  

• Référence CVE CVE-2007-4771 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4771
  

• Référence CVE CVE-2007-5745 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5745
  

• Référence CVE CVE-2007-5746 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5746
  

• Référence CVE CVE-2007-5747 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5747
  

• Référence CVE CVE-2008-0320 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0320
  

Gestion détaillée du document

18 avril 2008

version initiale.

19 mai 2008

ajout des références aux bulletins de sécurité Gentoo, RedHat, Debian, SuSE, Ubuntu et des références CVE.