[ja-discuss] CVE-2014-3693のセキュリティアドバイザリについて

matuaki <matuaki -AT- ma-office.org>
Fri, 01 May 2015 14:39:55 +0900

昨年の11月5日に出されていたセキュリティアドバイザリについてです。
以下のように翻訳してみましたが、今回の文はわたしのレベルでは難解で、訳文
は明らかにおかしいのですが、どのように訳したら良いのかが分かりません。
それで確認頂き訂正してくださればと思います。

よろしくお願いします。

原文：
Description:
In LibreOffice 4.0.0 and later, a new feature was added for remote
control capabilities in Impress. Users can run a smart phone
application to communicate with Impress over a custom protocol to switch
slides and the like. By default whenever Impress is started, it
immediately began listening on TCP port 1599 on all interfaces.

But there was a use after free bug in the code managing that port
leaving LibreOffice vulnerable to  external attackers with access to
that port where those external attackers could cause the deleted port
manager to continue to process attacker supplied data.

All users are recommended to upgrade to LibreOffice 4.2.7 or 4.3.3.

The impress remote can be disabled by:

1. Open LibreOffice, go to "Tools -> Options..."
2. Select "LibreOffice Impress -> General"
3. Uncheck "Presentation -> Enable remote control"

Thanks to the researchers at the SecuriTeam Secure Disclosure project
for discovering this flaw.

訳文：
詳細:
LibreOffice 4.0.0 以降、Impressをリモートで操作する新しい機能が追加され
ました。ユーザーはスマートフォンのアプリケーションからカスタムプロトコル
を通してImpressに通信しスライドの切り替えなどを実行できます。既定では
Impress が起動するたびに、すべてのインターフェース上のTCP 1599番ポートで
すぐにリッスンを開始します。

しかし、そのポートを管理するコードに解放済みメモリの使用の脆弱性があり、
外部の攻撃者がLibreOfficeの脆弱性が残っているポートにアクセスし、攻撃者
が供給するデータを処理し続けてポートマネージャーの削除を引き起こす可能性
があります。

すべてのユーザーが LibreOffice 4.2.7 または 4.3.3 にアップグレードするこ
とをお勧めします。

Impress remote は次のようにして使わないようにできます。

1.LibreOfficeのImpressを開き、「ツール」-「オプション」をクリックする
2.「LibreOffice Impress」-「全般」を選択する
3.「プレゼンテーション」項の「リモートからの操作を許可する」のチェックを外す

この欠陥を発見してくださったthe SecuriTeam Secure Disclosure project の
研究者たちに感謝します。
-- 
-------------------------------------------------
matuaki
matuaki_at_ma-office.org
http://openoffice.sblo.jp/

-- 
Unsubscribe instructions: E-mail to discuss+unsubscribe@ja.libreoffice.org
Posting guidelines + more: http://wiki.documentfoundation.org/Netiquette
List archive: http://listarchives.libreoffice.org/ja/discuss/
All messages sent to this list will be publicly archived and cannot be deleted

Context

[ja-discuss] CVE-2014-3693のセキュリティアドバイザリについて · matuaki
- Re: [ja-discuss] CVE-2014-3693のセキュリティアドバイザリについて · Takeshi Abe
  - [ja-discuss] Re: [ja-discuss] CVE-2014-3693のセキュリティアドバイザリについて · nk
    - Re: [ja-discuss] Re: [ja-discuss] CVE-2014-3693のセキュリティアドバイザリについて · matuaki

Privacy Policy | Impressum (Legal Info) | Copyright information: Unless otherwise specified, all text and images on this website are licensed under the Creative Commons Attribution-Share Alike 3.0 License. This does not include the source code of LibreOffice, which is licensed under the Mozilla Public License (MPLv2). "LibreOffice" and "The Document Foundation" are registered trademarks of their corresponding registered owners or are in actual use as trademarks in one or more countries. Their respective logos and icons are also subject to international copyright laws. Use thereof is explained in our trademark policy.