BDU:2023-02968: Уязвимость компонента Floating Frames пакета офисных программ LibreOffice, позволяющая нарушителю выполнить спуфинговую атаку

Описание уязвимости Уязвимость компонента Floating Frames пакета офисных программ LibreOffice связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю выполнить спуфинговую атаку при помощи специально созданного файла
Вендор Сообщество свободного программного обеспечения, ООО «Ред Софт», ООО «РусБИТех-Астра», The Document Foundation, АО "НППКТ", АО «ИВК»
Наименование ПО Debian GNU/Linux, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), LibreOffice, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913), АЛЬТ СП 10
Версия ПО 10 (Debian GNU/Linux), 11 (Debian GNU/Linux), 7.3 (РЕД ОС), 1.7 (Astra Linux Special Edition), 4.7 (Astra Linux Special Edition), до 7.4.7 (LibreOffice), до 7.5.3 (LibreOffice), до 2.8 (ОСОН ОСнова Оnyx), - (АЛЬТ СП 10), до 2.10 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Разрешения, привилегии и средства управления доступом, Недостаточное предупреждение об опасных действиях
Идентификатор типа ошибки CWE-264, CWE-357
Класс уязвимости Уязвимость кода
Дата выявления 24.05.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:L/AC:L/Au:S/C:P/I:P/A:P
  • CVSS 3.0: AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для пакета офисных программ LibreOffice:
https://www.libreoffice.org/about-us/security/advisories/CVE-2023-0950

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-2255

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0630SE17MD

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libreoffice до версии 4:7.4.5+repack-3~bpo11+1osnova1

Для ОС Astra Linux Special Edition для архитектуры ARM 4.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0907SE47

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения libreoffice до версии 4:7.4.7+repack-1~bpo11+1osnova1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Злоупотребление функционалом
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются