グッデイ榎です 3.1.1と2.4.3で対応された脆弱性について、日本でアナウンスするための ドラフトを作成しています。
まずは、セキュリティアラートを翻訳してみました。 セキュリティの問題ですので、正しく解釈できているかを中心に、レビューを お願いします。 また、翻訳プロジェクトでもレビューしていただけないでしょうか。 よろしくお願いします。 ------ http://security.openoffice.org/servlets/ReadMsg?list=alerts&msgNo=3 CVE-2009-0200 / CVE-2009-0201 Manipulated Word documents can lead to heap overflows and arbitrary code execution CVE-2009-0200 / CVE-2009-0201 処理されたWordファイルは、ヒープオーバーフロー 及び任意のコードの実行を引き起こす場合がある Synopsis: Manipulated WMF files can lead to heap overflows and arbitrary code execution 概要: 処理されたWMFファイルは、ヒープオーバーフロー及び任意のコードの実行を 引き起こす場合がある State: Resolved ステータス: 解決 1. Impact 1. 影響 A security vulnerability with the way OpenOffice.org processes Word documents may allow a remote unprivileged user who provides a Word document that is opened by a local user to execute arbitrary commands on the system with the privileges of the user running OpenOffice.org. OpenOffice.orgがWordドキュメントを処理するときのセキュリティの脆弱性は、 リモートの非特権ユーザが提供するWordドキュメントをローカルユーザが開くと、 任意のコマンドをシステム上のOpenOffice.orgを実行しているユーザ権限で実行 されるかもしれません。 No working exploit is known right now. 現時点では、実際に機能する攻撃方法は知られていません。 2. Affected releases 2. 影響を受けるリリース All versions of OpenOffice.org 3 prior to version 3.1.1 All versions of OpenOffice.org 2 prior to version 2.4.3 All versions of OpenOffice.org 1 OpenOffice.org 3.1.1 より前の OpenOffice.org 3.x のすべてのバージョン OpenOffice.org 2.4.3 より前の OpenOffice.org 2.x のすべてのバージョン OpenOffice.org 1.x のすべてのバージョン 3. Symptoms 3. 兆候 There are no predictable symptoms that would indicate this issue has occurred. この問題が起こったことを予想できる兆候はありません。 4. Relief/Workaround 4. 軽減/回避方法 There is no workaround. See "Resolution" below. 回避方法はありません。下記の"解決"を参照してください。 5. Resolution 5. 解決 This issue is addressed in the following releases: この問題は以下のリリースで対処されています。 OpenOffice.org 3.1.1 OpenOffice.org 2.4.3 6. Comments 6. コメント OpenOffice.org acknowledges with thanks, Dyon Balding of Secunia Research OpenOffice.org は Secunia Research の Dyon Balding に感謝します。 http://secunia.com/secunia_research/ Reference: http://www.openoffice.org/security/cves/CVE-2009-0200-0201.html ------------------------------------- http://security.openoffice.org/servlets/ReadMsg?list=alerts&msgNo=4 CVE-2009-2414 / CVE-2009-2416 Manipulated XML documents can lead to arbitrary code execution 処理されたXMLドキュメントは任意のコードの実行を引き起こす場合がある Synopsis: Manipulated XML documents can lead to arbitrary code execution 概要:処理されたXMLドキュメントは、任意のコードの実行を引き起こす場合がある State: Resolved ステータス:解決 1. Impact 1. 影響 A security vulnerability in OpenOffice.org, related to XML document processing, may allow a remote unprivileged user to execute arbitrary code on the system with the privileges of a local user running OpenOffice.org, if the local user opens crafted XML documents provided by the remote user. XMLドキュメントを処理するときのOpenOffice.org のセキュリティ脆弱性。 もしも、ローカルユーザが、リモートユーザによって提供されたXMLドキュメントを 開くなら、ローカルユーザ権限でOpenOffice.orgを実行しているシステムで、権限の ないリモートユーザが任意のコードを実行できる可能性があります。 These XML documents may also include documents in the OpenDocument format (ODF), the default format used by OpenOffice.org. これらXMLドキュメントには、OpenOffice.orgのデフォルトフォーマットである OpenDocument format(ODF)を含めることができます。 No working exploit is known right now. 現時点では、実際に機能する攻撃方法は知られていません。 2. Affected releases 2. 影響を受けるリリース All versions of OpenOffice.org 3 prior to version 3.1.1 All versions of OpenOffice.org 2 prior to version 2.4.3 Note: OpenOffice.org 1 is not impacted by this issue. OpenOffice.org 3.1.1 より前の OpenOffice.org 3.x のすべてのバージョン OpenOffice.org 2.4.3 より前の OpenOffice.org 2.x のすべてのバージョン 注: OpenOffice.org 1.x への影響はありません。 3. Symptoms 3. 兆候 There are no predictable symptoms that would indicate this issue has occurred. この問題が起こったことを予想できる兆候はありません。 4. Relief/Workaround 4. 軽減/回避方法 To workaround the described issues, do not load documents from untrusted sources. See "Resolution" below. 問題を回避するには、信頼できない出所のドキュメントを読み込まないでください。 下記の"解決"を参照してください。 5. Resolution 5. 解決 This issue is addressed in the following releases: この問題は以下のリリースで対処されています。 OpenOffice.org 3.1.1 OpenOffice.org 2.4.3 6. Comments None Reference: http://www.openoffice.org/security/cves/CVE-2009-2414-2416.html ------------------------------------- On Fri, 18 Sep 2009 23:33:04 +0900 Shinji Enoki <[email protected]> wrote: > グッデイ榎です > > On Fri, 18 Sep 2009 11:30:21 +0900 (JST) > Maho NAKATA <[email protected]> wrote: > > > From: Katsuya Kobayashi <[email protected]> > > Subject: [ja-qa] セキュリティ・アラートのアナウンスについて(was Re: [ja-qa] Re: [ja-announce] > > OpenOffice.org 3.1.1 日本語版をリリースしました) > > Date: Thu, 17 Sep 2009 23:18:10 +0900 > > > > > 中田さん、榎さん > > > > > > 小林です。こんばんは。 > > > > > > 今回セキュリティ脆弱性情報公開期限前に、バタバタとセキュリティ・アラートが流れて不思議でしたが、要約をつけて会社内に展開して多少参考になったようです。 > > > > > > 中田さんご提案のアナウンスは今回はあってもよいかと思います。 > > > それとは別に、セキュリティ・アラートは、翻訳か要約してアナウンスすることが、かえってきちんと対応しているという安心感と判断材料を提供することになるのではないかと思います。 > > > > > > > 小林さん > > その意見に賛成です。 > > 榎さん、とりあえずアナウンスご用意頂けますか。 > > 了解しました。 > 日本語でも情報を出したほうがいいですね。 > > セキュリティ情報とセキュリティアラートを元にドラフトを作成してみます。 > > > > -- > 株式会社グッデイ > 榎真治 <[email protected]> > > --------------------------------------------------------------------- > To unsubscribe, e-mail: [email protected] > For additional commands, e-mail: [email protected] > -- 株式会社グッデイ 榎真治 <[email protected]> --------------------------------------------------------------------- To unsubscribe, e-mail: [email protected] For additional commands, e-mail: [email protected]
