CVE-2024-5261 (CVSS 10):LibreOffice 修补了 LibreOfficeKit 中的严重漏洞

admin 2024年7月1日15:12:55评论11 views字数 918阅读3分3秒阅读模式

文档基金会是流行开源办公套件 LibreOffice 背后的组织,该组织发布了紧急安全公告,涉及其 LibreOfficeKit 组件中的一个严重漏洞CVE-2024-5261 )。此漏洞可能允许攻击者拦截或操纵 LibreOffice 与远程服务器之间传输的数据,从而可能泄露敏感信息。

CVE-2024-5261 (CVSS 10):LibreOffice 修补了 LibreOfficeKit 中的严重漏洞

LibreOfficeKit 是一款允许 C/C++ 应用程序访问 LibreOffice 功能的工具,使第三方组件能够利用 LibreOffice 作为文档转换、查看和交互的库。然而,在受影响的 LibreOffice 版本中,当在 LibreOfficeKit 模式下使用时,TLS 认证验证被禁用。具体来说,curl 的选项 CURLOPT_SSL_VERIFYPEER 被设置为 false,从而绕过了通过 LibreOfficeKit 获取的远程资源的关键安全检查。

这一安全漏洞意味着,当 LibreOfficeKit 访问远程资源(例如托管在 Web 服务器上的图像)时,TLS 证书的真实性未得到验证。这一疏忽可能让恶意行为者拦截和操纵这些资源,从而导致潜在的数据泄露和其他安全事件。

OpenSource Security GmbH 代表德国联邦信息安全局发现了该漏洞,并立即向文档基金会报告。修复程序由 allotropia 的 Thorsten Behrens 开发,他是 LibreOffice 项目的长期贡献者。

CVE-2024-5261 漏洞的 CVSSv4 评分为10,这是最高严重性评级,凸显了用户修复漏洞的紧迫性。文档基金会强烈建议升级到 LibreOffice 24.2.4或更高版本,其中包含解决此问题所需的补丁。在修复版本中,curl 在 LibreOfficeKit 模式下运行,并将 CURLOPT_SSL_VERIFYPEER 设置为 true,确保正确验证 TLS 证书,符合标准安全实践。

LibreOffice 24.2.4或更高版本地址:

https://www.libreoffice.org/download/download-libreoffice/

原文始发于微信公众号(独眼情报):CVE-2024-5261 (CVSS 10):LibreOffice 修补了 LibreOfficeKit 中的严重漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月1日15:12:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2024-5261 (CVSS 10):LibreOffice 修补了 LibreOfficeKit 中的严重漏洞http://cn-sec.com/archives/2904831.html

发表评论

匿名网友 填写信息