【漏洞通告】Apache OpenOffice 10月多个安全漏洞

发布时间 2021-10-12



0x00 漏洞概述

2021年10月11日,Apache发布安全公告,公开披露了Apache OpenOffice中的多个安全漏洞,攻击者可以利用这些漏洞来欺骗签名文档或实施未授权操作。

 

0x01 漏洞详情

image.png

Apache OpenOffice 和 LibreOffice 都 是OpenOffice.org的衍生产品。Apache openoffice是一款类似于MicroSoftMS OfficeApp和WPS的免费跨平台的办公App套件;LibreOffice办公套件同样是自由开源的,但相比OpenOffice增加了很多特色功能。

作为OpenOffice 的一个分支,本次披露的3个漏洞也影响了LibreOffice:

CVE-2021-41830:Apache OpenOffice(高危)

攻击者能够修改已签名的文件和宏,使其看起来像是来自受信任的来源。该漏洞也影响了LibreOffice,追踪为CVE-2021-25633。

CVE-2021-41831:Apache OpenOffice(中危)

攻击者能够修改签名文档的时间戳。该漏洞也影响了LibreOffice,追踪为CVE-2021-25634。

CVE-2021-41832:Apache OpenOffice(中危)

攻击者修改文件使其看起来是由一个受信任的来源签署的。该漏洞也影响了LibreOffice,追踪为CVE-2021-25635。

 

影响范围

Apache OpenOffice < 4.1.10

 

0x02 处置建议

目前Apache OpenOffice已经修复了这些漏洞,建议相关用户及时升级更新至Apache OpenOffice 4.1.11版本;针对LibreOffice,建议升级更新到7.0.5或7.1.1及更高版本。由于这两个应用程序均不提供自动更新,建议用户下载最新版本手动更新,或者选择完全禁用办公套件上的宏功能以缓解此漏洞。

下载链接:

Apache OpenOffice

https://www.openoffice.org/download/

 

LibreOffice

https://www.libreoffice.org/download/download/

 

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202110.mbox/%3Caf529548-6884-590a-1d8f-e66e90bfb7f8@apache.org%3E

https://www.bleepingcomputer.com/news/security/libreoffice-openoffice-bug-allows-hackers-to-spoof-signed-docs/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41832

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-10-12

首次发布

 

0x05 文档附录

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

CVSS:www.first.org

NVD:nvd.nist.gov

 

0x06 关于大家

关注以下公众号,获取更多资讯:

image.png