VulDB: Apache OpenOffice 2 TIFF Image Parser Pufferüberlauf
Allgemein
scipID: 3310
Betroffen: OpenOffice 2
Veröffentlicht: 18.09.2007
Risiko: 
kritisch
Eintrag: 94.8% komplett
Erstellt: 19.09.2007
Aktualisiert: 03.09.2012
Beschreibung
OpenOffice.org ist ein freies Office-Paket, das aus einer Kombination verschiedener Programme zur Textverarbeitung, Tabellenkalkulation, Präsentation und zum Zeichnen besteht. Ein Datenbankprogramm und ein Formeleditor sind ebenfalls enthalten. iDefense meldete die Entdeckung eines anonymen Researchers, wonach ein Fehler im TIFF Parsing der Applikation es erlaubt, beliebigen Code zur Ausführung zu bringen, wenn ein Benutzer ein speziell manipuliertes Dokument aufruft. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (40546), Secunia (SA27370), SecurityFocus (BID 25690), SecurityTracker (ID 1018702) und X-Force (36656) dokumentiert.
Für den Vulnerability Scanner Nessus wurde am 10.11.2007 ein Plugin mit der ID 28129 (USN-524-1 : OpenOffice.org vulnerability) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Ubuntu Local Security Checks zugeordnet und im Kontext local ausgeführt.
OpenOffice steht nach wie vor im Schatten des “grossen Vorbilds” Microsoft Office – steht dessen Problemen beim Parsen verschiedener Dateiformate aber in nichts nach. Es empfiehlt sich, das entsprechende Update der OpenOffice.org Entwickler baldmöglichst einzuspielen, um das Risiko einer Kompromittierung zu verringern.
CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
CPE
- cpe:/a:apache:openoffice:2
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Nessus ID: 28129
Nessus Name: USN-524-1 : OpenOffice.org vulnerability
Nessus Family: Ubuntu Local Security Checks
Nessus Context: local
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Patch: openoffice.org
Timeline
24.05.2007 | CVE zugewiesen
17.09.2007 | Gegenmassnahme veröffentlicht
18.09.2007 | Advisory veröffentlicht
18.09.2007 | OSVDB Eintrag erstellt
19.09.2007 | VulDB Eintrag erstellt
10.11.2007 | Nessus Plugin veröffentlicht
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: openoffice.org
Firma: iDefense
Bestätigung: issues.rpath.com
OSVDB: 40546
CVE: CVE-2007-2834 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 27370
SecurityFocus: 25690
SecurityTracker: 1018702
X-Force: 36656
Vupen: ADV-2007-3262
