|
OpenOffice revela archivos de otros usuarios
|
|
VSantivirus No. 1527 Año 8, sábado 11 de setiembre de 2004
OpenOffice revela archivos de otros usuarios
http://www.vsantivirus.com/vul-openoffice-110904.htm
Por Angela Ruiz
angela@videosoft.net.uy
Una vulnerabilidad ha sido reportada en OpenOffice, la conocida suite de oficina de uso libre, que permite que un usuario local pueda acceder a documentos que pertenecen a otros usuarios. El problema también afecta a StarOffice, la versión de pago.
OpenOffice y StarOffice, incluyen procesador de textos, hoja de cálculo, bases de datos, edición HTML, presentaciones, creación y tratamiento de gráficos, etc.
La vulnerabilidad detectada, está relacionada con el uso que estas aplicaciones hacen de los archivos temporales.
Al iniciarse el programa, se crea un directorio temporal con permisos de lectura del tipo "/TMP/SV???.TMP", donde "???" son tres caracteres al azar.
Al grabarse un archivo o documento creado o editado por el programa, una versión comprimida en formato ZIP es almacenada en dicho directorio.
Al tener esa carpeta los permisos de lectura habilitados para todos los usuarios, cualquiera de ellos puede acceder a la misma, y obtener así esos archivos, aún cuando no sean documentos creados por él.
Existe una actualización del producto que soluciona este problema. Sun también ha publicado la solución para StarOffice.
El fallo afecta solo a usuarios de las versiones para Linux y Unix.
Relacionados:
(Sun Issues Fix for StarOffice) OpenOffice World-Readable
Temporary Files Disclose Files to Local Users
http://www.securitytracker.com/alerts/2004/Sep/1011206.html
OpenOffice Issue 33357
http://www.openoffice.org/issues/show_bug.cgi?id=33357
Patch ID 117073-03
StarOffice/StarSuite 7_x86 (Solaris): Product patch update
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=117073-03&method=h
Patch ID 116519-05
StarOffice/StarSuite 7 (Solaris): Product patch update
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=116519-05&method=h
Patch ID 116518-05
StarOffice/StarSuite 7 (Linux): Product update patch
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=116518-05&method=h
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|