抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静通告

【漏洞通告】Apache OpenOffice 10月多个宁静漏洞

宣布时间 2021-10-12

0x00 漏洞概述

2021年10月11日，Apache宣布宁静通告，果然披露了Apache OpenOffice中的多个宁静漏洞，攻击者可以利用这些漏洞来欺骗签名文档或实施未授权操作。

0x01 漏洞详情

Apache OpenOffice 和 LibreOffice 都是OpenOffice.org的衍生产物。Apache openoffice是一款类似于微软MS Office软件和WPS的免费跨平台的办公软件套件；LibreOffice办公套件同样是自由开源的，但相比OpenOffice增加了很多特色功效。

作为OpenOffice 的一个分支，本次披露的3个漏洞也影响了LibreOffice：

CVE-2021-41830：Apache OpenOffice（高危）

攻击者能够修改已签名的文件和宏，使其看起来像是来自受信任的来源。该漏洞也影响了LibreOffice，追踪为CVE-2021-25633。

CVE-2021-41831：Apache OpenOffice（中危）

攻击者能够修改签名文档的时间戳。该漏洞也影响了LibreOffice，追踪为CVE-2021-25634。

CVE-2021-41832：Apache OpenOffice（中危）

攻击者修改文件使其看起来是由一个受信任的来源签署的。该漏洞也影响了LibreOffice，追踪为CVE-2021-25635。

影响范围

Apache OpenOffice < 4.1.10

0x02 处置建议

目前Apache OpenOffice已经修复了这些漏洞，建议相关用户及时升级更新至Apache OpenOffice 4.1.11版本；针对LibreOffice，建议升级更新到7.0.5或7.1.1及更高版本。由于这两个应用法式均不提供自动更新，建议用户下载最新版本手动更新，或者选择完全禁用办公套件上的宏功效以缓解此漏洞。

下载链接：

Apache OpenOffice：

https://www.openoffice.org/download/

LibreOffice：

https://www.libreoffice.org/download/download/

0x03 参考链接

http://mail-archives.apache.org/mod_mbox/www-announce/202110.mbox/%3Caf529548-6884-590a-1d8f-e66e90bfb7f8@apache.org%3E

https://www.bleepingcomputer.com/news/security/libreoffice-openoffice-bug-allows-hackers-to-spoof-signed-docs/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41832

0x04 更新版本

版本	日期	修改内容
V1.0	2021-10-12	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

CVSS：www.first.org

NVD：nvd.nist.gov

0x06 关于抖圈为赌而生

关注以下公众号，获取更多资讯：

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号