Lucene search

RootSSV:1203

HistoryJan 17, 2007 - 12:00 a.m.

OpenOffice WMF/EMF文件处理堆溢出漏洞

2007-01-1700:00:00

Root

www.seebug.org

JSON

OpenOffice是个整合性的软件，包含了许多文字处理、表格、公式等办公工具。

OpenOffice在处理META_ESCAPE记录时存在截尾错误。在svtools\source\filter.vcl\wmf\winwmf.cxx文件中：

case W_META_ESCAPE :
…
sal_uInt32 i, nStringLen, nDXCount;
…
aMemoryStream >> aPt.X()
>> aPt.Y()
>> nStringLen;

sal_Unicode* pBuf = aString.AllocBuffer( (sal_uInt16)nStringLen );
for ( i = 0; i < nStringLen; i++ )
aMemoryStream >> pBuf[ i ];

nStringLen为sal_uInt32，被放到了sal_uInt16进行分配然后将最初的32位值用作了计数填充缓冲区，因此任何大于0xFFFF的长度都可能导致堆溢出。如果用户受骗打开了恶意的WMF文件或嵌入了该文件的文档（如Microsoft Word文档）的话，就可能导致通过覆盖函数指针或DWORD执行任意代码。

OpenOffice在处理EMR_POLYPOLYGON和EMR_POLYPOLYGON16记录时还存在整数溢出。在svtools\source\filter.vcl\wmf\enhwmf.cxx文件中：

case EMR_POLYPOLYGON :

INT32 i, nPoly, nGesPoints;
…
pWMF >> nPoly >> nGesPoints;
…
pPtAry = (Point) new char[ nGesPoints * sizeof(Point) ];

for ( i = 0; i < nGesPoints; i++ )
{
*pWMF >> nX32 >> nY32;
pPtAry[ i ] = Point( nX32, nY32 );
}

如果nGesPoints > (0x100000000/sizeof(Point))的话，nGesPoints * sizeof(Point)就会导致整数环绕。EMR_POLYPOLYGON16记录的情况与上述例子类似。远程攻击者可以通过诱骗用户打开恶意的WMF/EMF文件触发堆溢出，导致执行任意代码。

Sun StarOffice 8.0
Sun StarOffice 7.0
Sun StarOffice 6.0
OpenOffice OpenOffice 2.1
Debian

Debian已经为此发布了一个安全公告（DSA-1246-1）以及相应补丁:
DSA-1246-1：New OpenOffice.org packages fix arbitrary code execution
链接：<a href=“http://www.debian.org/security/2005/dsa-1246” target=“_blank”>http://www.debian.org/security/2005/dsa-1246</a>

补丁下载：

Source archives:

<a href=“http://security.debian.org/pool/updates/main/o/openoffice.org/openoffice.org_1.1.3-9sarge4.dsc” target=“_blank”>http://security.debian.org/pool/updates/main/o/openoffice.org/openoffice.org_1.1.3-9sarge4.dsc</a>
Size/MD5 checksum: 2878 3adfe8b09c20248767fe9d995b3f184c
<a href=“http://security.debian.org/pool/updates/main/o/openoffice.org/openoffice.org_1.1.3-9sarge4.diff.gz” target=“_blank”>http://security.debian.org/pool/updates/main/o/openoffice.org/openoffice.org_1.1.3-9sarge4.diff.gz</a>
Size/MD5 checksum: 4623655 108120f3b365317fa9c47b25a5445fce
<a href=“http://security.debian.org/pool/updates/main/o/openoffice.org/openoffice.org_1.1.3.orig.tar.gz” target=“_blank”>http://security.debian.org/pool/updates/main/o/openoffice.org/openoffice.org_1.1.3.orig.tar.gz</a>
Size/MD5 checksum: 166568714 5250574bad9906b38ce032d04b765772

Architecture independent components:

Intel IA-32 architecture:

PowerPC architecture:

IBM S/390 architecture:

Sun Sparc architecture:

补丁安装方法：

手工安装补丁包：

首先，使用下面的命令来下载补丁软件：

wget url (url是补丁下载链接地址)

然后，使用下面的命令来安装补丁：

dpkg -i file.deb (file是相应的补丁名)

使用apt-get自动安装补丁包：

首先，使用下面的命令更新内部数据库：

apt-get update

然后，使用下面的命令安装更新软件包：

apt-get upgrade

RedHat

RedHat已经为此发布了一个安全公告（RHSA-2007:0001-01）以及相应补丁:
RHSA-2007:0001-01：Important: openoffice.org security update
链接：<a href=“http://lwn.net/Alerts/216323/?format=printable” target=“_blank”>http://lwn.net/Alerts/216323/?format=printable</a>

Sun

Sun已经为此发布了一个安全公告（Sun-Alert-102735）以及相应补丁:
Sun-Alert-102735：Security Vulnerability With StarOffice/StarSuite Versions 6, 7 and 8 Related to the ‘.wmf’ File Format
链接：<a href=“http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102735-1” target=“_blank”>http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102735-1</a>

Gentoo

Gentoo已经为此发布了一个安全公告（GLSA-200701-07）以及相应补丁:
GLSA-200701-07：OpenOffice.org: EMF/WMF file handling vulnerabilities
链接：<a href=“http://security.gentoo.org/glsa/glsa-200701-07.xml” target=“_blank”>http://security.gentoo.org/glsa/glsa-200701-07.xml</a>

所有OpenOffice.org二进制程序用户都应升级到2.1.0或之后版本：

# emerge --sync
# emerge --ask --oneshot --verbose &quot;&gt;=app-office/openoffice-bin-2.1.0&quot;

所有OpenOffice.org用户都应升级到2.0.4或之后版本：

# emerge --sync
# emerge --ask --oneshot --verbose &quot;&gt;=app-office/openoffice-2.0.4&quot;

OpenOffice

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

<a href=“http://download.openoffice.org/2.1.0/index.html” target=“_blank”>http://download.openoffice.org/2.1.0/index.html</a>