グッデイ榎です 以下、修正後の案です。 レビューをお願いします。 ------ http://security.openoffice.org/servlets/ReadMsg?list=alerts&msgNo=3
CVE-2009-0200 / CVE-2009-0201 Manipulated Word documents can lead to heap overflows and arbitrary code execution CVE-2009-0200 / CVE-2009-0201 操作された Word ファイルは、ヒープオーバーフロー 及び任意のコードの実行を引き起こす場合がある Synopsis: Manipulated WMF files can lead to heap overflows and arbitrary code execution 概要: 操作された WMF ファイルは、ヒープオーバーフロー及び任意のコードの実行を 引き起こす場合がある State: Resolved ステータス: 解決 1. Impact 1. 影響 A security vulnerability with the way OpenOffice.org processes Word documents may allow a remote unprivileged user who provides a Word document that is opened by a local user to execute arbitrary commands on the system with the privileges of the user running OpenOffice.org. OpenOffice.org の Word ドキュメントの処理方式によるセキュリティ脆弱性は、 リモートの非特権ユーザーに、OpenOffice.org を実行しているローカルユーザーの ユーザー権限で、任意の命令を実行することを許すかもしれません。 これはリモートの非特権ユーザーから送られた(不正操作された)Wordドキュメントを ローカルユーザーが開くことにより発生します。 No working exploit is known right now. 現時点では、実際に機能する攻撃方法は知られていません。 2. Affected releases 2. 影響を受けるリリース All versions of OpenOffice.org 3 prior to version 3.1.1 All versions of OpenOffice.org 2 prior to version 2.4.3 All versions of OpenOffice.org 1 OpenOffice.org 3.1.1 より前の OpenOffice.org 3.x のすべてのバージョン OpenOffice.org 2.4.3 より前の OpenOffice.org 2.x のすべてのバージョン OpenOffice.org 1.x のすべてのバージョン 3. Symptoms 3. 兆候 There are no predictable symptoms that would indicate this issue has occurred. この問題が起こったことを示す、予想できる兆候はありません。 4. Relief/Workaround 4. 軽減/回避方法 There is no workaround. See "Resolution" below. 回避方法はありません。下記の"解決"を参照してください。 5. Resolution 5. 解決 This issue is addressed in the following releases: この問題は以下のリリースで対処されています。 OpenOffice.org 3.1.1 OpenOffice.org 2.4.3 6. Comments 6. コメント OpenOffice.org acknowledges with thanks, Dyon Balding of Secunia Research OpenOffice.org は Secunia Research の Dyon Balding に感謝します。 http://secunia.com/secunia_research/ Reference: http://www.openoffice.org/security/cves/CVE-2009-0200-0201.html ------------------------------------- http://security.openoffice.org/servlets/ReadMsg?list=alerts&msgNo=4 CVE-2009-2414 / CVE-2009-2416 Manipulated XML documents can lead to arbitrary code execution 操作されたXMLドキュメントは任意のコードの実行を引き起こす場合がある Synopsis: Manipulated XML documents can lead to arbitrary code execution 概要:操作されたXMLドキュメントは、任意のコードの実行を引き起こす場合がある State: Resolved ステータス:解決 1. Impact 1. 影響 A security vulnerability in OpenOffice.org, related to XML document processing, may allow a remote unprivileged user to execute arbitrary code on the system with the privileges of a local user running OpenOffice.org, if the local user opens crafted XML documents provided by the remote user. XML ドキュメント処理に関するセキュリティ脆弱性は、 リモートの非特権ユーザーに、OpenOffice.org を実行しているローカルユーザーの ユーザー権限で、任意の命令を実行することを許すかもしれません。 これはリモートの非特権ユーザーから送られた(不正操作された)XMLドキュメントを ローカルユーザが開くことにより発生します。 These XML documents may also include documents in the OpenDocument format (ODF), the default format used by OpenOffice.org. これら XML ドキュメントには、OpenOffice.org のデフォルトフォーマットである OpenDocument format(ODF)形式のドキュメントを含めることができます。 No working exploit is known right now. 現時点では、実際に機能する攻撃方法は知られていません。 2. Affected releases 2. 影響を受けるリリース All versions of OpenOffice.org 3 prior to version 3.1.1 All versions of OpenOffice.org 2 prior to version 2.4.3 Note: OpenOffice.org 1 is not impacted by this issue. OpenOffice.org 3.1.1 より前の OpenOffice.org 3.x のすべてのバージョン OpenOffice.org 2.4.3 より前の OpenOffice.org 2.x のすべてのバージョン 注: OpenOffice.org 1.x への影響はありません。 3. Symptoms 3. 兆候 There are no predictable symptoms that would indicate this issue has occurred. この問題が起こったことを示す、予想できる兆候はありません。 4. Relief/Workaround 4. 軽減/回避方法 To workaround the described issues, do not load documents from untrusted sources. See "Resolution" below. 問題を回避するには、信頼できない出所のドキュメントを読み込まないでください。 下記の"解決"を参照してください。 5. Resolution 5. 解決 This issue is addressed in the following releases: この問題は以下のリリースで対処されています。 OpenOffice.org 3.1.1 OpenOffice.org 2.4.3 6. Comments None Reference: http://www.openoffice.org/security/cves/CVE-2009-2414-2416.html ------------------------------------- -- 株式会社グッデイ 榎真治 <[email protected]> --------------------------------------------------------------------- To unsubscribe, e-mail: [email protected] For additional commands, e-mail: [email protected]
