Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-05923: Уязвимость пакета офисных программ LibreOffice, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю оказать воздействие на целостность данных

Описание уязвимости	Уязвимость пакета офисных программ LibreOffice связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, оказать воздействие на целостность данных
Вендор	ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, The Document Foundation, АО "НППКТ"
Наименование ПО	Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, LibreOffice, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	1.6 «Смоленск» (Astra Linux Special Edition) 10 (Debian GNU/Linux) 11 (Debian GNU/Linux) от 7.0.0 до 7.0.6 (LibreOffice) от 7.1.0 до 7.1.2 (LibreOffice) 4.7 (Astra Linux Special Edition) до 2.7 (ОСОН ОСнова Оnyx)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 10 Сообщество свободного программного обеспечения Debian GNU/Linux 11 ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО "НППКТ" ОСОН ОСнова Оnyx до 2.7 (запись в едином реестре российских программ №5913)
Тип ошибки	Неправильное подтверждение подлинности сертификата
Идентификатор типа ошибки	CWE-295
Класс уязвимости	Уязвимость кода
Дата выявления	12.10.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:C/A:N CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Для LibreOffice: использование рекомендаций производителя: https://www.libreoffice.org/about-us/security/advisories/CVE-2021-25634 Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-25634 Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения libreoffice до версии 4:7.4.5+repack-1~bpo11+1osnova1
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Подмена при взаимодействии
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://github.com/LibreOffice/core/commit/89befefb98487a27bff1003084e1200320828b3f https://github.com/LibreOffice/core/commit/94ce59dd02fcfcaa1eb4f195b45a9a2edbd58242 https://github.com/LibreOffice/core/commit/abe77c4fcb9ea97d9fff07eaea6d8863bcba5b02 https://github.com/LibreOffice/core/commit/ad5930e87e788780a255523f106deb1dde5d7b37 https://github.com/LibreOffice/core/commit/b776cf1281660cf495e12824872576bb8e99d569 https://github.com/LibreOffice/core/commit/d92235df75829a8cf2ee8cc7b0b76063093b6cc2 https://nvd.nist.gov/vuln/detail/CVE-2021-25634 https://security-tracker.debian.org/tracker/CVE-2021-25634 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://www.libreoffice.org/about-us/security/advisories/CVE-2021-25634 https://www.openwall.com/lists/oss-security/2021/10/11/2 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-25634
Прочая информация	Данные уточняются

Последние изменения