BDU:2021-05337: Уязвимость пакета офисных программ LibreOffice, связанная с ошибками при формировании документов documentsignatures.xml, macrosignatures.xml, позволяющая нарушителю манипулировать подписанными документами

Описание уязвимости Уязвимость пакета офисных программ LibreOffice связана с ошибками при формировании документов documentsignatures.xml, macrosignatures.xml. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, манипулировать подписанными документами
Вендор Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Red Hat Inc., The Document Foundation, ООО «Ред Софт»
Наименование ПО Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, LibreOffice, РЕД ОС (запись в едином реестре российских программ №3751)
Версия ПО
  • 9 (Debian GNU/Linux)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8 (Red Hat Enterprise Linux)
  • 10 (Debian GNU/Linux)
  • 11 (Debian GNU/Linux)
  • от 7.0.0 до 7.0.6 (LibreOffice)
  • от 7.1.0 до 7.1.2 (LibreOffice)
  • 7.3 (РЕД ОС)
  • 4.7 (Astra Linux Special Edition)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Неправильное подтверждение подлинности сертификата
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 11.10.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:

Для Debian/GNU Linux:
https://security-tracker.debian.org/tracker/CVE-2021-25633

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-25633

Для LibreOffice:
https://www.libreoffice.org/about-us/security/advisories/CVE-2021-25633

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
  • Подмена при взаимодействии
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения