0x00 漏洞概述
2021年10月11日,Apache发布安全公告,公开披露了Apache OpenOffice中的多个安全漏洞,攻击者可以利用这些漏洞来欺骗签名文档或实施未授权操作。
0x01 漏洞详情
Apache OpenOffice 和 LibreOffice 都 是OpenOffice.org的衍生产品。Apache openoffice是一款类似于微软MS Office软件和WPS的免费跨平台的办公软件套件;LibreOffice办公套件同样是自由开源的,但相比OpenOffice增加了很多特色功能。
作为OpenOffice 的一个分支,本次披露的3个漏洞也影响了LibreOffice:
CVE-2021-41830:Apache OpenOffice(高危)
攻击者能够修改已签名的文件和宏,使其看起来像是来自受信任的来源。该漏洞也影响了LibreOffice,追踪为CVE-2021-25633。
CVE-2021-41831:Apache OpenOffice(中危)
攻击者能够修改签名文档的时间戳。该漏洞也影响了LibreOffice,追踪为CVE-2021-25634。
CVE-2021-41832:Apache OpenOffice(中危)
攻击者修改文件使其看起来是由一个受信任的来源签署的。该漏洞也影响了LibreOffice,追踪为CVE-2021-25635。
影响范围
Apache OpenOffice < 4.1.10
0x02 处置建议
目前Apache OpenOffice已经修复了这些漏洞,建议相关用户及时升级更新至Apache OpenOffice 4.1.11版本;针对LibreOffice,建议升级更新到7.0.5或7.1.1及更高版本。由于这两个应用程序均不提供自动更新,建议用户下载最新版本手动更新,或者选择完全禁用办公套件上的宏功能以缓解此漏洞。
下载链接:
Apache OpenOffice:
https://www.openoffice.org/download/
LibreOffice:
https://www.libreoffice.org/download/download/
0x03 参考链接
http://mail-archives.apache.org/mod_mbox/www-announce/202110.mbox/%[email protected]%3E
https://www.bleepingcomputer.com/news/security/libreoffice-openoffice-bug-allows-hackers-to-spoof-signed-docs/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41832
0x04 更新版本
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2021-10-12 |
首次发布 |
0x05 文档附录
CNVD:www.cnvd.org.cn
CNNVD:www.cnnvd.org.cn
CVE:cve.mitre.org
CVSS:www.first.org
NVD:nvd.nist.gov
0x06 关于我们
关注以下公众号,获取更多资讯:
原文始发于微信公众号(维他命安全):【漏洞通告】Apache OpenOffice 10月多个安全漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论