int(6293)

Boletines de Vulnerabilidades


Múltiples vulnerabilidades en OpenOffice y LibreOffice

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Obtener acceso
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio exotico

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado OpenOffice 3.3
OpenOffice 3.4 Beta
LibreOffice, versiones anteriores a la 3.5.3.

Descripción

Se han descubierto tres vulnerabilidades en OpenOffice y Libre Office.
La primera consiste en un error de desbordamiento de enteros en el módulo "vclmi.dll", que podría permitir a un atacante remoto ejecutar código arbitrario si la víctima abre un documento de tipo DOC, con un objeto de imagen especialmente diseñado.
La segunda consiste en una sobreescritura de memoria debida a un error en "libpwd", que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.
La tercera consiste en un error de control en la asignación de memoria en los filtros "msdffimp.cxx", en "filter/source/msfilter", que podría aprovechar un atacante remoto para efectuar un ataque de denegación de servicio utilizando un documento PowerPoint con registros especialmente diseñados.

Solución

Actualizar a OpenOffice 3.4 o LibreOffice 3.5.3, según corresponda.

Identificadores estándar

Propiedad Valor
CVE CVE-2012-1149
CVE-2012-2149
CVE-2012-2334
BID

Recursos adicionales

Aviso Apache OpenOffice CVE-2012-1149
http://www.openoffice.org/security/cves/CVE-2012-1149.html

Boletín LibreOffice CVE-2012-1149
http://www.libreoffice.org/advisories/cve-2012-1149/

Aviso Apache OpenOffice CVE-2012-2149
http://www.openoffice.org/security/cves/CVE-2012-2149.html

Aviso Apache OpenOffice CVE-2012-2334
http://www.openoffice.org/security/cves/CVE-2012-2334.html

Aviso LibreOffice CVE-2012-2334
http://www.libreoffice.org/advisories/CVE-2012-2334/

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2012-05-18

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT