Security Lab

Выполнение произвольного кода в OpenOffice

Дата публикации:05.12.2007
Дата изменения:10.12.2007
Всего просмотров:2180
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: OpenOffice.org 2.x
Уязвимые версии: OpenOffice версии до 2.3.1

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за некорректного наложения ограничения безопасности при обработке SQL запросов, передаваемых СУБД HSQLDB. Злоумышленник может обманом заставить пользователя выполнить специально сформированный SQL запрос, содержащийся в документе баз данных и выполнить произвольные Java методы на целевой системе.

URL производителя: www.openoffice.org

Решение: Установите последнюю версию с сайта производителя.

Обновите до версии 2.3.1 (HSQLDB 1.8.0.9).
http://download.openoffice.org/index.html

Журнал изменений:

10.12.2007
Обновлено описание уязвимости, добавлены новые данные.