Hallo Jasna,
Am Samstag, 7. Mai 2005 20:54 schrieb Jasna Schulze:
> Die aktuelle PC-Welt informiert �ber einen Heap-Overflow-Fehler in
> allen OOo-Versionen, einschlie�lich Beta 2.0.
> Beim �ffnen einer pr�parierten DOC-Datei soll sich beliebiger Code
> ins System einschleusen und zur Ausf�hrung bringen lassen.
> Die Zeitschrift schreibt, dass es einen Patch nur f�r 1.1.4 gibt.
>
> Bisher hatte ich es so verstanden, dass es diese L�cke gerade in
> 1.1.4 nicht mehr gibt (hatte ich wahrscheinlich missverstanden und
> es soll hei�en, dass nur in 1.1.4 die L�cke gepatcht werden kann?).
> Deutschsprachige Details zur L�cke konnte ich nicht finden.
>
> Wie ist es nun:
> - ist in 1.1.4 die L�cke nicht vorhanden,
> - oder sie ist da und kann mit dem Patch geschlossen werden?
- f�r 1.1.4 gibt es einen Patch (s. u.)
- ab 1.1.95 gefixt (aktuell ist 1.1.100)
--- Zitat "[de-users] Sicherheitspatch f�r OpenOffice.org 1.1.4" ---
vom 15.04.2005
Patch beseitigt m�gliches Sicherheitsrisiko in OpenOffice.org 1.1.4
Die OpenOffice.org-Community stellt einen Patch bereit, der einen
Fehler
beim Laden von Word-Dateien beseitigt.
Vor einigen Tagen wurde von einem m�glichen Sicherheitsrisiko auf der
Sicherheitsmailingliste Bugtraq berichtet
(http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2005-04/0150.html)
Dieses Sicherheitsrisiko tritt beim Laden von Word-Dateien auf, die
einen Programmfehler von OpenOffice.org gezielt ausnutzen. Beim
Aufrufen
einer solchen Datei werden Daten in falsche Speicherbereiche
geschrieben.
Ein Absturz von OpenOffice.org kann die Folge sein. Theoretisch ist es
m�glich, dass dadurch auch pr�parierter Programmcode ausgef�hrt wird.
Bislang ist ein entsprechender Angriff aber nicht bekannt.
Von diesem Fehler sind OpenOffice.org 1.1.0 bis einschlie�lich 1.1.4
sowie
die aktuellen Beta-Versionen von OpenOffice.org 2.0 betroffen.
Der Fehler tritt unter allen unterst�tzten Betriebssystemen auf.
F�r OpenOffice.org 1.1.4 ( Linux, Solaris Sparc, Solaris x86, Windows
und Mac OSX) stehen ab sofort entsprechende Patches bereit.
In den kommenenden Versionen von OpenOffice.org 1.1 (1.1.5) und den
Beta-Versionen (ab 1.9.95) wird der Fehler nat�rlich beseitigt sein.
Download der Patch-Dateien:
Sie k�nnen den Patch �ber unsere Downloadseite
http://de.openoffice.org/downloads/quick.html herunterladen. (W�hlen
Sie
das gew�nschte Betriebssystem und den 2. Eintrag "1.1.4 SecPatch" als
Version.)
Alternativ k�nnen Sie beliebigen Mirror verwenden. Sie finden den
Patch
im Verzeichnis stable/1.1.4secpatch/
Laden Sie bitte f�r Ihr Betriebssystem die entsprechende Datei
herunter.
� � Windows - sot645mi.dll
� � Linux - libsot645li.so
� � Solaris x86 - libsot645si.so
� � SolarisSparc - libsot645ss.so
� � Mac OSX - libsot645mxp.dylib
Hinweis: im Moment sind noch nicht alle Mirrorserver mit den Dateien
best�ckt,
w�hlen sie bei Downloadproblemen also einen alternativen Server.
Installation des Patches
Hinweis: Auf einem Betriebssystem f�r mehrere Benutzer (Linux,
Solaris,
Windows NT/2000/XP) m�ssen Sie als Administrator / root angemeldet
sein!
1) Laden Sie die entsprechende Datei f�r Ihr Betriebssystem herunter.
2) Pr�fen sie die md5-Summe der Datei.
3) Beenden Sie OpenOffice.org, auch den Schnellstarter.
4) �ffnen Sie das Verzeichnis, in das Sie OpenOffice.org installiert
haben.
5) �ffnen Sie dort das Unterverzeichnis "program"
6) Suchen Sie dort die Datei mit dem gleichen Namen wie die
heruntergeladene,
� � z.B. unter Windows "sot645mi.dll".
7) Machen Sie von davon eine Sicherheitskopie in einen anderen Ordner.
8) Kopieren Sie die heruntergeladene Datei in das Verzeichnis
"program".
� � Die alte Datei wird dabei �berschrieben.
Hinweis: Eventuell m�ssen Sie vorher den Schreibschutz der alten Datei
entfernen.
9) Starten Sie OpenOffice.org wieder.
Links:
Meldung auf bugtraq
http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2005-04/0150.html
Meldung auf Heise Security
http://www.heise.de/security/news/meldung/58461
Issue bei OpenOffice.org
http://www.openoffice.org/issues/show_bug.cgi?id=46388
Downloadseite
http://de.openoffice.org/downloads/quick.html
--- Zitat Ende ---
Ciao Michael
--
Michael van Gemmern, D-Berlin
SuSE 8.2, KDE 3.3.2, OOo 1.1.4/2.0beta de
SuSE 9.2, KDE 3.4, OOo 1.1.4de
---------------------------------------------------------------------
To unsubscribe, e-mail: [EMAIL PROTECTED]
For additional commands, e-mail: [EMAIL PROTECTED]
