―――――――――――――――――――――――――――――――――――――
OpenOffice.org 3.2 で修正された脆弱性についてのお知らせ
―――――――――――――――――――――――――――――――――――――
OpenOffice.org 3.2 では、セキュリティ脆弱性を修正しています。
私達の知る限りでは、これまでにこの脆弱性が悪用されたことはありませんが、最
善の方法として最新版へのアップグレードをお勧めします。
またセキュリティ対策として、一般に信頼できない出所のドキュメントは読み込ま
ないようにしてください。
なお、OpenOffice.org 2.x はサポート期限が終了しており、最新版へのアップグレ
ードをお勧めしています。
「OpenOffice.orgのバージョン 2.x サポート期限の終了のお知らせ」
http://ja.openoffice.org/servlets/ReadMsg?list=announce&msgNo=368
をご覧ください。
脆弱性の詳細について、OpenOffice.org Security Team Bulletin (セキュリティ
チーム・ブレティン)
http://www.openoffice.org/security/bulletin.html に掲載している
「OpenOffice.org 3.2.0 で修正された脆弱性」6件を翻訳してお知らせします。
(ステータス、兆候、回避方法、対処状況、謝辞は省略しました)
1. CVE-2006-4339:Potential vulnerability from 3rd party libxml2 libraries
「サードパーティーのライブラリに起因する OpenOffice.org のセキュリティ脆弱性」
2. CVE-2009-0217: Potential vulnerability from 3rd party libxmlsec libraries
「サードパーティーのライブラリに起因する OpenOffice.org のセキュリティ脆弱性」
3. CVE-2009-2493: OpenOffice.org 3 for Windows bundles a vulnerable
version of MSVC Runtime
「OpenOffice.org 3.x Windows 版は MSVC ランタイムの脆弱性があるバージョンを
含んでいます」
4. CVE-2009-2949: Potential vulnerability related to XPM file processing
「XPM ファイル処理に関する OpenOffice.org のセキュリティ脆弱性」
5. CVE-2009-2950: Potential vulnerability related to GIF file processing
「GIF ファイル処理に関する OpenOffice.org のセキュリティ脆弱性」
6. CVE-2009-3301/2: Potential vulnerability related to MS-Word
document processing
「MS-Word ドキュメント処理に関するOpenOffice.org のセキュリティ脆弱性」
CVEは脆弱性を識別する番号です。http://www.ipa.go.jp/security/vuln/CVE.html
セキュリティ警報用メーリングリスト(英語)を購読すれば OpenOffice.org の
最新のセキュリティ情報を受け取ることができます。
http://www.openoffice.org/security/alerts.html
--------------------------------------------------------------------------
1. CVE-2006-4339: サードパーティーのライブラリに起因する OpenOffice.org の
セキュリティ脆弱性
--------------------------------------------------------------------------
概要: OpenOffice.org 2.x および 3.x では、 サードパーティーのライブラリで
ある libxml2 の問題のため、署名を適切に扱えない場合があります。
1. 影響
OpenOffice.org 2.x および 3.x では、CVE-2006-4339 の問題を持っていると知ら
れているサードパーティーのライブラリを使っているため、署名を適切に扱えない
場合があります。
2. 影響を受けるリリース
* OpenOffice.org 3.2 より前の OpenOffice.org 3.x のすべてのバージョン
* OpenOffice.org 2.x のすべてのバージョン
注: OpenOffice.org 1.1.x はこの問題によって影響を受けません。
--------------------------------------------------------------------------
2. CVE-2009-0217: サードパーティーのライブラリに起因する OpenOffice.org の
セキュリティ脆弱性
--------------------------------------------------------------------------
概要: OpenOffice.org 2.x および 3.x では、サードパーティーのライブラリである
libxmlsec での XML 署名の HMAC truncation 認証回避問題によって影響を受けるか
もしれません。
1. 影響
OpenOffice.org 2.x および 3.x には、CVE-2009-0217 に報告されている XML 署名
の HMAC truncation 認証回避問題の影響を受けるサードパーティーのライブラリが
含まれます。
2. 影響を受けるリリース
* OpenOffice.org 3.2 より前の OpenOffice.org 3.x のすべてのバージョン
* OpenOffice.org 2.x のすべてのバージョン
--------------------------------------------------------------------------
3. CVE-2009-2493: OpenOffice.org 3.x Windows 版は MSVC ランタイムの脆弱性が
あるバージョンを含んでいます
--------------------------------------------------------------------------
概要: OpenOffice.org 3.x Windows版は MSVC ランタイムの脆弱性があるバージョ
ンを含んでいます。詳細は CVE-2009-2493 をご覧ください。
1. 影響
Windoows 版 OpenOffice.org 3.x には、脆弱性のあるバージョンの MSVC ランタ
イムが含まれます(詳細はCVE-2009-2493)。OpenOffice.org はセキュリティ問題
の影響を受けません。しかし、ランタイムがなければ、脆弱性がある MSVC ランタ
イムをシステムにインストールします。この脆弱性のあるバージョンは毎月の
Windows Update で更新されるはずです。しかし、OpenOffice.org の最新版でも
更新された MSVC ランタイムになります。
2. 影響を受けるリリース
* OpenOffice.org 3.2 より前の OpenOffice.org 3.x のすべてのバージョンの
Windows 版
注: OpenOffice.org 2.x および OpenOffice.org 1.1.x はこの問題によって影響
を受けません。
--------------------------------------------------------------------------
4. CVE-2009-2949: XPM ファイル処理に関する OpenOffice.org のセキュリティ脆弱性
--------------------------------------------------------------------------
概要: XPM ファイル処理に関する OpenOffice.org のセキュリティ脆弱性は任意の
コードの実行を引き起こす可能性があります
1. 影響
XPM ファイル処理に関するセキュリティ脆弱性は、リモートの非特権ユーザーに、
OpenOffice.org を実行しているローカルユーザーのユーザー権限で、任意の命令
を実行することを許すかもしれません。XPM ファイルを、OpenOffice.org のデフ
ォルトフォーマットである OpenDocument format(ODF)形式のドキュメントを含む、
異なる種類のドキュメントに埋め込むことができます。
2. 影響を受けるリリース
* OpenOffice.org 3.2 より前の OpenOffice.org のすべてのバージョン
--------------------------------------------------------------------------
5. CVE-2009-2950: GIF ファイル処理に関する OpenOffice.org のセキュリティ脆弱性
--------------------------------------------------------------------------
概要: GIF ファイル処理に関する OpenOffice.org のセキュリティ脆弱性は任意の
コードの実行を引き起こす可能性があります
1. 影響
GIF ファイル処理に関連する OpenOffice.org のセキュリティ脆弱性は、リモート
の非特権ユーザーに、OpenOffice.org を実行しているローカルユーザーのユーザー
権限で、任意の命令を実行することを許す可能性があります。GIF ファイルを、
OpenOffice.org のデフォルトフォーマットである OpenDocument format(ODF)形式
のドキュメントを含む、異なる種類のドキュメントに埋め込むことができます。
2. 影響を受けるリリース
* OpenOffice.org 3.2 より前の OpenOffice.org のすべてのバージョン
--------------------------------------------------------------------------
6. CVE-2009-3301, CVE-2009-3302: MS-Word ドキュメント処理に関する
OpenOffice.org のセキュリティ脆弱性
--------------------------------------------------------------------------
概要: MS-Word ドキュメント処理に関する OpenOffice.org のセキュリティ脆弱性
は任意のコードの実行を引き起こす可能性があります
1. 影響
Word 文書の処理に関連する OpenOffice.org のセキュリティ脆弱性は、リモート
の非特権ユーザーに、OpenOffice.org を実行しているローカルユーザーのユーザー
権限で、任意の命令を実行することを許す可能性があります。
2. 影響を受けるリリース
* OpenOffice.org 3.2 より前の OpenOffice.org のすべてのバージョン
==========================================================================
翻訳・査読:OpenOfficeo.org 日本語プロジェクト翻訳プロジェクト
榎真治, 久保田貴也, 斎藤玲子
--------------------------------------------------------------------------
榎真治 品質保証プロジェクトコーディネーター
OpenOffice.org日本語プロジェクト
http://ja.openoffice.org/
==========================================================================
---------------------------------------------------------------------
To unsubscribe, e-mail: [email protected]
For additional commands, e-mail: [email protected]
