S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 07 septembre 2009 No CERTA-2009-AVI-362-001

Affaire suivie par :

CERTA

Objet : Vulnérabilités dans OpenOffice.org

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Exécution de code arbitraire à distance.

2 Systèmes affectés

OpenOffice.org versions 3.x.

3 Résumé

Plusieurs vulnérabilités dans OpenOffice.org permettent à une personne malintentionnée d'exécuter du code arbitraire à distance.

4 Description

Deux vulnérabilités ont été découvertes dans l'analyse de certains enregistrements d'OpenOffice.org et permettent à une personne malintentionnée d'exécuter du code arbitraire à distance via un document au format Microsoft Word spécialement construit.

5 Solution

Se référer à la note de nouvelle version de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

6 Documentation

• Note de nouvelle version OpenOffice.org 3.1.1 :

  http://development.openoffice.org/releases/3.1.1.html
  

• Bulletin de sécurité Debian DSA-1880-1 du 04 septembre 2009 :

  http://www.us.debian.org/security/2009/dsa-1880
  

• Bulletin de sécurité Fedora FEDORA-2009-9256 du 04 septembre 2009 :

  http://www.redhat.com/archives/fedora-package-announce/2009-September/msg00077.html
  

• Bulletin de sécurité RedHat RHSA-2009:1426-01 du 04 septembre 2009 :

  http://www.redhat.com/archives/rhsa-announce/2009-September/msg00014.html
  

• Référence CVE CVE-2009-0200 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0200
  

• Référence CVE CVE-2009-0201 :

  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0201
  

Gestion détaillée du document

01 septembre 2009

version initiale.

07 septembre 2009

ajout des références aux bulletins Debian, Fedora et RedHat.