Vulnérabilités dans OpenOffice.org

Gestion du document

Référence	CERTA-2010-AVI-241-001
Titre	Vulnérabilités dans OpenOffice.org
Date de la première version	07 juin 2010
Date de la dernière version	08 juin 2010
Source(s)	Bulletins de sécurité OpenOffice CVE-2009-3555 et CVE-2010-0395 du 05 juin 2010
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire ;
contournement de la politique de sécurité.

Systèmes affectés

OpenOffice.org 3.x.

Note : la branche OpenOffice.org 2.x n'est plus maintenue par le projet OpenOffice.org.

Résumé

Deux vulnérabilités d'OpenOffice.org permettent à un utilisateur malveillant respectivement d'exécuter du code arbitraire et de contourner la politique de sécurité.

Description

Une vulnérabilité dans la bibliothèque TLS/SSL permet à un utilisateur malveillant de contourner la politique de sécurité.

Une vulnérabilité dans l'environnement pour le langage Python peut conduire à l'exécution non souhaitée de scripts Python.

Solution

La version 3.2.1 d'OpenOffice.org remédie à ces problèmes.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité OpenOffice CVE-2009-3555 du 05 juin 2010 :
```
http://www.openoffice.org/security/cves/CVE-2009-3555.html
```
Bulletin de sécurité OpenOffice CVE-2010-0395 du 05 juin 2010 :
```
http://www.openoffice.org/security/cves/CVE-2010-0395.html
```

Document du CERTA CERTA-2009-AVI-482 du 19 mai 2010 :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-482/index.html

Référence CVE CVE-2009-3555 :

https://www.cve.org/CVERecord?id=CVE-2009-3555

Référence CVE CVE-2010-0395 :

https://www.cve.org/CVERecord?id=CVE-2010-0395

Gestion détaillée du document

le 07 juin 2010: version initiale.

le 08 juin 2010: précision sur les versions touchées.

Avis du CERT-FR

Objet: Vulnérabilités dans OpenOffice.org