您所在的位置: 首頁 >
安全研究 >
安全通告 >
Apache OpenOffice 10月多個安全漏洞
【漏洞通告】Apache OpenOffice 10月多個安全漏洞
0x00 漏洞概述
2021年10月11日,Apache發(fā)布安全公告,公開披露了Apache OpenOffice中的多個安全漏洞,攻擊者可以利用這些漏洞來欺騙簽名文檔或?qū)嵤┪词跈?quán)操作。
0x01 漏洞詳情
Apache OpenOffice 和 LibreOffice 都 是OpenOffice.org的衍生產(chǎn)品。Apache openoffice是一款類似于微軟MS Office軟件和WPS的免費跨平臺的辦公軟件套件;LibreOffice辦公套件同樣是自由開源的,但相比OpenOffice增加了很多特色功能。
作為OpenOffice 的一個分支,本次披露的3個漏洞也影響了LibreOffice:
CVE-2021-41830:Apache OpenOffice(高危)
攻擊者能夠修改已簽名的文件和宏,使其看起來像是來自受信任的來源。該漏洞也影響了LibreOffice,追蹤為CVE-2021-25633。
CVE-2021-41831:Apache OpenOffice(中危)
攻擊者能夠修改簽名文檔的時間戳。該漏洞也影響了LibreOffice,追蹤為CVE-2021-25634。
CVE-2021-41832:Apache OpenOffice(中危)
攻擊者修改文件使其看起來是由一個受信任的來源簽署的。該漏洞也影響了LibreOffice,追蹤為CVE-2021-25635。
影響范圍
Apache OpenOffice < 4.1.10
0x02 處置建議
目前Apache OpenOffice已經(jīng)修復(fù)了這些漏洞,建議相關(guān)用戶及時升級更新至Apache OpenOffice 4.1.11版本;針對LibreOffice,建議升級更新到7.0.5或7.1.1及更高版本。由于這兩個應(yīng)用程序均不提供自動更新,建議用戶下載最新版本手動更新,或者選擇完全禁用辦公套件上的宏功能以緩解此漏洞。
下載鏈接:
Apache OpenOffice:
https://www.openoffice.org/download/
LibreOffice:
https://www.libreoffice.org/download/download/
0x03 參考鏈接
http://mail-archives.apache.org/mod_mbox/www-announce/202110.mbox/%3Caf529548-6884-590a-1d8f-e66e90bfb7f8@apache.org%3E
https://www.bleepingcomputer.com/news/security/libreoffice-openoffice-bug-allows-hackers-to-spoof-signed-docs/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41832
0x04 更新版本
0x05 文檔附錄
CNVD:www.cnvd.org.cn
CNNVD:www.cnnvd.org.cn
CVE:cve.mitre.org
CVSS:www.first.org
NVD:nvd.nist.gov
來源:維他命安全