Au-Ja! - Sicherheitslücke beim Doc-Import von OpenOffice beseitigen

au-ja.de - pc netz technik - online seit 2000

	Start
	News
	Testberichte
	Downloads
	Forum
	Kontakt
	Webweites
	Suche
	Hersteller A-Z
	BOINC

Sicherheitslücke beim Doc-Import von OpenOffice beseitigen - 1/1
15.04.2005 by doelf

Hintergrund: Der Fehler
Eine Sicherheitslücke bei der Verarbeitung des Headers von Doc-Dateien kann in allen Versionen des OpenOffice zu einem Buffer-Überlauf führen und somit zum Einschleusen fremden Codes genutzt werden.

Der Fehler liegt in der Funktion "StgCompObjStream::Load()" und wurde nicht nur in allen Versionen der Generation 1.x.x bis einschließlich 1.1.4 nachgewiesen, sondern ist auch in den aktuellen 2.0 Beta-Versionen enthalten.

Der Fehler wurde bei OpenOffice.org dokumentiert, ein passender Patch ist ab sofort für OpenOffice 1.1.x (1.1.4 wird empfohlen) unter Windows, Linux, Solaris und Mac OS X verfügbar. Ein Update wird dringend empfohlen.

Hinweis zu OpenOffice 2.0 Beta
Der Patch eignet sich nicht für OpenOffice 2.0 Beta, eine neue, fehlerberichtigte Version (OpenOffice.org 1.9.95) wurde allerdings für die nächsten Tage angekündigt.

Den Patch installieren
Für den Patch muß lediglich eine Datei heruntergeladen und ersetzt werden, deren Download-Link wir in Abhängigkeit vom Betriebssystem weiter unten aufführen. Unter Windows handelt es sich um Dynamic Link Library "sot645mi.dll", die sich überlicherweise im Verzeichnis "C:/Programme/OpenOffice.org1.1.4/program" befindet. Man sollte zunächst OpenOffice beenden und diese Datei in "sot645mi.bak" umbenennen. Danach läd man die neue Version (sot645mi.dll) aus dem Internet in das zuvor genannte Verzeichnis herunter. Anschließend sollte man OpenOffice starten und verifizieren, daß der Doc-Import noch funktioniert. Wenn alles funktioniert, kann man die alte Datei ("sot645mi.bak") löschen. Wenn nicht, kann man die alte Datei wieder umbenennen, damit wenigstens die Import-Funktion erhalten bleibt. Ein Kurztest unter Windows 2000 SP4, Windows XP SP2 sowie Solaris 10 x86 ergab keine Probleme mit dem neuen Importfilter.

Download: Patch für Windows, Linux, Solaris und Mac OS X

Windows: sot645mi.dll
Linux: libsot645li.so
Solarisx86: libsot645si.so
Solaris Sparc: libsot645ss.so
Mac OS X (X11): libsot645mxp.dylib

Diesen Guide diskutieren

© copyright 1998-2012 by Dipl.-Ing. Michael Doering
www.Au-Ja.de / www.Au-Ja.org / www.Au-Ja.com / www.Au-Ja.net ist eine Veröffentlichung von Dipl.-Ing. Michael Doering.

Alle Marken oder Produktnamen sind Eigentum der jeweiligen Inhaber. Alle Inhalte spiegeln die subjektive Meinung der jeweiligen Autoren wieder und sind geistiges Eigentum dieser Autoren. Alle Angaben sind ohne Gewähr! Wir setzen bei Nutzung unserer Publikation ausdrücklich die Verwendung des gesunden Menschenverstandes voraus. Sollten Sie mit dieser Voraussetzung nicht einverstanden sein, verstoßen sie gegen unsere Nutzungsbedingungen! Die Veröffentlichung aller Inhalte - auch auszugsweise - ist nur mit ausdrücklicher, schriftlicher Genehmigung erlaubt. Die Verwendung kurzer Ausschnitte für Nachrichten-Ticker und Ähnliches ist hiervon ausdrücklich ausgenommen!

Sollten Ihnen über Hyperlink verknüpfte externe Inhalte auffallen, welche mit der deutschen oder europäischen Rechtssprechung in Widerspruch stehen, bitten wir um eine kurze Meldung. Kommentare und Hinweise zu rechtswidrigen Inhalte unseres lokalen Angebotes sind natürlich ebenfalls erwünscht. Weitere Informationen finden Sie im Impressum!