BDU:2020-02896

Опубликовано: 28 янв. 2011

Источник: fstec

CVSS3: 9.9

CVSS2: 9.3

EPSS Низкий

Описание

Уязвимость офисного пакета OpenOffice связана с ошибкой перезаписи через ".. (две точки)" в файле, где активен фильтр XSLT JAR. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Novell Inc.

Red Hat Inc.

Сообщество свободного программного обеспечения

ООО «РусБИТех-Астра»

Apache Software Foundation

Наименование ПО

openSUSE

Red Hat Enterprise Linux

Debian GNU/Linux

SUSE Linux Enterprise Software Development Kit

Astra Linux Common Edition

Suse Linux Enterprise Desktop

SUSE Linux Enterprise SDK

Apache OpenOffice

Suse Linux Enterprise Server

SUSE Linux Enterprise Server for SAP Applications

Версия ПО

11.3 (openSUSE)

11.2 (openSUSE)

3 (Red Hat Enterprise Linux)

4 (Red Hat Enterprise Linux)

5 (Red Hat Enterprise Linux)

6 (Red Hat Enterprise Linux)

9 (Debian GNU/Linux)

8.0 (Debian GNU/Linux)

11 SP4 (SUSE Linux Enterprise Software Development Kit)

2.12 «Орёл» (Astra Linux Common Edition)

10 (Debian GNU/Linux)

10 SP3 (Suse Linux Enterprise Desktop)

11 SP1 (Suse Linux Enterprise Desktop)

10 SP3 (SUSE Linux Enterprise SDK)

до 3.2 (Apache OpenOffice)

10 SP3 (Suse Linux Enterprise Server)

10 SP3 (SUSE Linux Enterprise Server for SAP Applications)

11 SP1 (SUSE Linux Enterprise Software Development Kit)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. openSUSE 11.3

Novell Inc. openSUSE 11.2

Red Hat Inc. Red Hat Enterprise Linux 3

Red Hat Inc. Red Hat Enterprise Linux 4

Red Hat Inc. Red Hat Enterprise Linux 5

Red Hat Inc. Red Hat Enterprise Linux 6

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Сообщество свободного программного обеспечения Debian GNU/Linux 8.0

ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Novell Inc. Suse Linux Enterprise Desktop 10 SP3

Novell Inc. Suse Linux Enterprise Desktop 11 SP1

Novell Inc. SUSE Linux Enterprise SDK 10 SP3

Novell Inc. Suse Linux Enterprise Server 10 SP3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,3)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для OpenOffice:

Обновление программного обеспечения до 3.2 или более поздней версии

Для Debian:

Обновление программного обеспечения (пакета openoffice.org) до 3.2 или более поздней версии

Для Astra Linux:

Обновление программного обеспечения (пакета openoffice.org) до 3.2 или более поздней версии

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/security/cve/CVE-2010-3450

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2010-3450/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3450
CVE

EPSS

Процентиль: 84%

0.02158

Низкий

9.9 Critical

CVSS3

9.3 Critical

CVSS2

Связанные уязвимости

CVE-2010-3450

ubuntu

больше 14 лет назад

Multiple directory traversal vulnerabilities in OpenOffice.org (OOo) 2.x and 3.x before 3.3 allow remote attackers to overwrite arbitrary files via a .. (dot dot) in an entry in (1) an XSLT JAR filter description file, (2) an Extension (aka OXT) file, or unspecified other (3) JAR or (4) ZIP files.