PDA

Ver la Versión Completa : Acceso a archivos de otros usuarios en OpenOffice



chuzo
10-sep-2004, 23:01
Se ha anunciado la existencia de una vulnerabilidad en OpenOffice por la que un usuario local puede ser capaz de obtener documentos que pertenezcan a otro usuario local.

OpenOffice es una suite de oficina, como Microsoft Office, de software libre, gratis para todo el mundo, y que incluye software de procesador de textos, hoja de cálculo, gráficos vectoriales, edición HTML y presentaciones.

Según se ha publicado esta suite hace un uso inseguro de los archivos temporales. Cuando se inicia OpenOffice se crea un directorio temporal con permisos de lectura para todo el mundo ('/tmp/sv<RAND>.tmp', RAND es una cadena aleatoria de tres caracteres). Cuando se graba un archivo OpenOffice, una versión comprimida (en formato zip) del mismo se graba en el directorio temporal.

El problema reside en que como el directorio y los archivos creados tienen permisos de acceso para todo el mundo, cualquier otro usuario local puede acceder al directorio temporal y obtener el archivo.

Se ha publicado una corrección del problema disponible a través de CVS. Sun también ha corregido el problema en su suite StarOffice.

http://es.openoffice.org/images/ooo-1.1-officesuite-right.png

Más Información:

Issue 33357 (www.openoffice.org/issues/show_bug.cgi?id=33357)

OpenOffice World-Readable Temporary Files Disclose Files to Local Users (http://www.securitytracker.com/alerts/2004/Sep/1011205.html)

Fuente: Acceso a archivos de otros usuarios en OpenOffice - Hispasec - Una al día 10/09/2004 (http://www.hispasec.com/unaaldia/2148)

Un saludo :adios: