CERT-FI haavoittuvuustiedote 087/2010

6.6.2010

Päivitys OpenOffice-ohjelmistoon

Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - tietojen muokkaaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

OpenOffice-toimisto-ohjelmistosta on korjattu kaksi haavoittuvuutta. Toinen haavoittuvuuksista (CVE-2009-3555) mahdollistaa hyökkääjän oman sisällön syöttämisen tiettyihin haavoittuvan ohjelmiston suorittamiin HTTPS-istuntoihin. Toinen haavoittuvuuksista (CVE-2010-0395) puolestaan antaa hyökkääjälle mahdollisuuden suorittaa kohdejärjestelmässä python-koodia tilanteissa, joissa OpenOfficen sisäänrakennettua kehitysympäristöä käytetään haitallisesti muotoillun python-koodin käsittelyyn. Jälkimmäisen haavoittuvuuden onnistunut hyväksikäyttö edellyttää, että käyttäjä avaa hyökkääjän tietyllä tavalla muotoileman tiedoston.

HAAVOITTUVAT OHJELMISTOT:

• Kaikki OpenOffice 3.x-sarjan versiot ennen versiota 3.2.1
• Kaikki OpenOffice 2-sarjan versiot
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Haavoittuvuudet on korjattu OpenOffice-versiossa 3.2.1. Päivitä haavoittuva ohjelmisto korjattuun versioon. Korjattu versio on saatavilla osoitteesta: http://download.openoffice.org/index.html. Korjattu versio on saatavilla useisiin Linux-jakeluihin myös niiden paketinhallintajärjestelmien kautta.

LISÄTIETOA:

• http://www.openoffice.org/security/bulletin.html
  
• CVE-2009-3555
• CVE-2010-0395

PÄIVITYSHISTORIA:

6.6.2010, kello 17.10: Julkaistu
7.6.2010, kello 9.45: Tarkennettu sanamuotoja

Sivua päivitetty 07.06.2010

Tulostusversio