【漏洞通告】Apache OpenOffice 10月多個(gè)安全漏洞

0x00 漏洞概述

2021年10月11日，Apache發(fā)布安全公告，公開(kāi)披露了Apache OpenOffice中的多個(gè)安全漏洞，攻擊者可以利用這些漏洞來(lái)欺騙簽名文檔或?qū)嵤┪词跈?quán)操作。

0x01 漏洞詳情

Apache OpenOffice 和 LibreOffice 都 是OpenOffice.org的衍生產(chǎn)品。Apache openoffice是一款類似于微軟MS Office軟件和WPS的免費(fèi)跨平臺(tái)的辦公軟件套件;LibreOffice辦公套件同樣是自由開(kāi)源的，但相比OpenOffice增加了很多特色功能。

作為OpenOffice 的一個(gè)分支，本次披露的3個(gè)漏洞也影響了LibreOffice：

CVE-2021-41830：Apache OpenOffice(高危)

攻擊者能夠修改已簽名的文件和宏，使其看起來(lái)像是來(lái)自受信任的來(lái)源。該漏洞也影響了LibreOffice，追蹤為CVE-2021-25633。

CVE-2021-41831：Apache OpenOffice(中危)

攻擊者能夠修改簽名文檔的時(shí)間戳。該漏洞也影響了LibreOffice，追蹤為CVE-2021-25634。

CVE-2021-41832：Apache OpenOffice(中危)

攻擊者修改文件使其看起來(lái)是由一個(gè)受信任的來(lái)源簽署的。該漏洞也影響了LibreOffice，追蹤為CVE-2021-25635。

影響范圍

Apache OpenOffice < 4.1.10

0x02 處置建議

目前Apache OpenOffice已經(jīng)修復(fù)了這些漏洞，建議相關(guān)用戶及時(shí)升級(jí)更新至Apache OpenOffice 4.1.11版本；針對(duì)LibreOffice，建議升級(jí)更新到7.0.5或7.1.1及更高版本。由于這兩個(gè)應(yīng)用程序均不提供自動(dòng)更新，建議用戶下載最新版本手動(dòng)更新，或者選擇完全禁用辦公套件上的宏功能以緩解此漏洞。

下載鏈接：

Apache OpenOffice：

https://www.openoffice.org/download/

LibreOffice：

https://www.libreoffice.org/download/download/

0x03 參考鏈接

http://mail-archives.apache.org/mod_mbox/www-announce/202110.mbox/%3Caf529548-6884-590a-1d8f-e66e90bfb7f8@apache.org%3E

https://www.bleepingcomputer.com/news/security/libreoffice-openoffice-bug-allows-hackers-to-spoof-signed-docs/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41832

0x04 更新版本

0x05 文檔附錄

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

CVSS：www.first.org

NVD：nvd.nist.gov

來(lái)源：維他命安全