Sistemas Afectados

1. Descripción

   Debian ha liberado parches de seguridad de OpenOffice que solucionan múltiples vulnerabilidades.

   Múltiples vulnerabilidades fueron descubiertas en OpenOffice, en una suite de oficina, las vulnerabilidades comunes son identificadas por los siguientes problemas

   Es posible encajar macros arbitrarias de Basic, en documentos de una manera que OpenOffice no los detecta pero si los ejecuta sin ninguna interacción con el usuario.

   Es posible evadir el Java sanbox con Java applets especialmente modificados.

   Cargando documentos XML mal formados puede causar buffer overflows y provocar una negación de servicio o ejecutar código arbitrario.

   Esta actualización tiene el componente de Mozilla deshabilitado, entonces tiene la característica que el libro de direcciones Mozilla/LDAP no trabaje de una forma adecuada.

2. Impacto

   Los sistemas que no cuenten con estas actualizaciones, son vulnerables a negaciones de servicio, así como a ejecución de código arbitrario.

3. Solución

   Para poder instalar los parches de seguridad es necesario descargar y seguir las instrucciones de alguno de los siguientes paquetes:

   http://security.debian.org/pool/updates/main/o/openoffice.org/openoffice.org_1.1.3-9sarge2.dsc

   http://security.debian.org/pool/updates/main/o/openoffice.org/openoffice.org_1.1.3-9sarge2.diff.gz

   http://security.debian.org/pool/updates/main/o/openoffice.org/openoffice.org_1.1.3.orig.tar.gz

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
• Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)