不正な形式の XML ドキュメントをロードすると、 フリーなオフィススイートである OpenOffice.org にバッファオーバフローを引き起こし、 サービス不能 (DoS) 攻撃や任意のコードの実行ができてしまうことが分かりました。 DSA 1104-1 での修正が不十分であることが判明したので、今回再更新が行われています。 完全を期すために以下のオリジナルの勧告を確認してください。
フリーなオフィススイートである OpenOffice.org に複数の脆弱性が発見されました。Common Vulnerabilities and Exposures プロジェクトでは以下の問題を特定しています。
- CVE-2006-2198
任意の BASIC マクロを文書に埋め込み、OpenOffice.org にはそれを見せずに、 ユーザの関与がないことにも構わずに実行できてしまうことが分かりました。
- CVE-2006-2199
特殊な細工をした Java アプレットは、Java サンドボックスを回避できてしまいます。
- CVE-2006-3117
不正な形式の XML ドキュメントをロードすると、 バッファオーバフローを引き起こし、サービス不能 (DoS) 攻撃や任意のコードの実行ができてしまうことが分かりました。
この更新は Mozilla コンポーネントを無効にしているので、 Mozilla/LDAP アドレス帳機能は動作しません。もっとも、元々 i386 の sarge 以外では動作していませんでしたが。
前安定版ディストリビューション (oldstable、コードネーム woody) は、OpenOffice.org パッケージ群を含んでいません。
安定版ディストリビューション (stable、コードネーム sarge) では、この問題はバージョン 1.1.3-9sarge3 で修正されています。
不安定版ディストリビューション (unstable、コードネーム sid) では、この問題はバージョン 2.0.3-1 で修正されています。
OpenOffice.org パッケージ群のアップグレードをお勧めします。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。
一覧にあるファイルの MD5 チェックサムは勧告の原文 (改訂版) にあります。