Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-05337: Уязвимость пакета офисных программ LibreOffice, связанная с ошибками при формировании документов documentsignatures.xml, macrosignatures.xml, позволяющая нарушителю манипулировать подписанными документами

Описание уязвимости	Уязвимость пакета офисных программ LibreOffice связана с ошибками при формировании документов documentsignatures.xml, macrosignatures.xml. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, манипулировать подписанными документами
Вендор	Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», Red Hat Inc., The Document Foundation, ООО «Ред Софт»
Наименование ПО	Debian GNU/Linux, Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Enterprise Linux, LibreOffice, РЕД ОС (запись в едином реестре российских программ №3751)
Версия ПО	9 (Debian GNU/Linux) 1.6 «Смоленск» (Astra Linux Special Edition) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) 11 (Debian GNU/Linux) от 7.0.0 до 7.0.6 (LibreOffice) от 7.1.0 до 7.1.2 (LibreOffice) 7.3 (РЕД ОС) 4.7 (Astra Linux Special Edition)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369)
Тип ошибки	Неправильное подтверждение подлинности сертификата
Идентификатор типа ошибки	CWE-295
Класс уязвимости	Уязвимость кода
Дата выявления	11.10.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:P/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Debian/GNU Linux: https://security-tracker.debian.org/tracker/CVE-2021-25633 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-25633 Для LibreOffice: https://www.libreoffice.org/about-us/security/advisories/CVE-2021-25633 Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 Для Astra Linux Special Edition 4.7 (для архитектуры ARM): использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование структурами данных Подмена при взаимодействии
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://access.redhat.com/security/cve/cve-2021-25633 https://redos.red-soft.ru/support/secure/ https://security-tracker.debian.org/tracker/CVE-2021-25633 https://www.cybersecurity-help.cz/vdb/SB2021101902 https://www.libreoffice.org/about-us/security/advisories/CVE-2021-25633 https://www.libreoffice.org/about-us/security/advisories/cve-2021-25633/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-25633
Прочая информация	Данные уточняются

Последние изменения