Debian DSA-1995-1:openoffice.org - いくつかの脆弱性

high Nessus プラグイン ID 44859

言語:

New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

OpenOffice.org Office スイートで、いくつかの脆弱性が見つかりました。Common Vulnerabilities and Exposures プロジェクトは次の問題を特定しています:

- CVE-2010-0136 VBA マクロにマクロセキュリティ設定が十分に適用されていないことが判明しました。

- CVE-2009-0217 W3C XML 署名勧告が、HMAC 出力切り捨てに関連するプロトコルレベルの脆弱性を含んでいることが判明しました。これは、統合化 libxmlsec ライブラリにも影響します。

- CVE-2009-2949 Sebastian Apelt 氏は、XPM インポートコードの整数オーバーフローにより、任意のコードの実行が引き起こされる可能性があることを発見しました。

- CVE-2009-2950 Sebastian Apelt 氏および Frank Reissner 氏は、GIF インポートコードのバッファオーバーフローにより、任意のコードの実行が引き起こされる可能性があることを発見しました。

- CVE-2009-3301/ CVE-2009-3302 Nicolas Joly 氏は、Word ドキュメントファイルのパーサーにおける複数の脆弱性により、任意のコードの実行が引き起こされる可能性があることを発見しました。

ソリューション

openoffice.org パッケージをアップグレードしてください。

旧安定版(oldstable)ディストリビューション(etch)では、これらの問題はバージョン 2.0.4.dfsg.2-7etch9 で修正されています。

安定版(stable)ディストリビューション(lenny)では、これらの問題はバージョン 1:2.4.1+dfsg-1+lenny6 で修正されています。

関連情報

https://security-tracker.debian.org/tracker/CVE-2010-0136

https://security-tracker.debian.org/tracker/CVE-2009-0217

https://security-tracker.debian.org/tracker/CVE-2009-2949

https://security-tracker.debian.org/tracker/CVE-2009-2950

https://security-tracker.debian.org/tracker/CVE-2009-3301

https://security-tracker.debian.org/tracker/CVE-2009-3302

https://www.debian.org/security/2010/dsa-1995

プラグインの詳細

深刻度: High

ID: 44859

ファイル名: debian_DSA-1995.nasl

バージョン: 1.20

タイプ: local

エージェント: unix

公開日: 2010/2/24

更新日: 2021/1/4

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: High

Base Score: 9.3

Temporal Score: 7.7

ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C

現状ベクトル: E:F/RL:OF/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:openoffice.org, cpe:/o:debian:debian_linux:4.0, cpe:/o:debian:debian_linux:5.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2010/2/12

エクスプロイト可能

Core Impact

参照情報

CVE: CVE-2009-0217, CVE-2009-2949, CVE-2009-2950, CVE-2009-3301, CVE-2009-3302, CVE-2010-0136

BID: 35671, 38218

DSA: 1995

CWE: 94, 119, 189