Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02189

Опубликовано: 19 янв. 2021
Источник: fstec
CVSS3: 6.3
CVSS2: 5.7
EPSS Низкий

Описание

Уязвимость пакета офисных программ LibreOffice связана с некорректной проверкой криптографической подписи при использовании значений «X509Data» и «KeyValue». Эксплуатация уязвимости может позволить нарушителю обойти ограничения безопасности с помощью специально созданного ODF-документа

Вендор

ООО «РусБИТех-Астра»
Fedora Project
The Document Foundation
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition
Fedora
LibreOffice
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
34 (Fedora)
1.7 (Astra Linux Special Edition)
до 7.2.5 (LibreOffice)
от 7.2.5.1 до 7.3.0 (LibreOffice)
4.7 (Astra Linux Special Edition)
до 2.7 (ОСОН ОСнова Оnyx)
до 20.10.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Fedora Project Fedora 34
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 20.10.2023

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для LibreOffice:
https://www.libreoffice.org/about-us/security/advisories/CVE-2021-25636/
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-3bbe89c20f
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16
Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1110SE17
Для Astra Linux Special Edition 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-1121SE47
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения libreoffice до версии 4:7.4.5+repack-1~bpo11+1osnova1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения libreoffice до версии 1:6.1.5+repack-3+deb10u8.strelets1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 40%
0.00184
Низкий

6.3 Medium

CVSS3

5.7 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-25636

CVSS3: 7.5
ubuntu
больше 3 лет назад

LibreOffice supports digital signatures of ODF documents and macros within documents, presenting visual aids that no alteration of the document occurred since the last signing and that the signature is valid. An Improper Certificate Validation vulnerability in LibreOffice allowed an attacker to create a digitally signed ODF document, by manipulating the documentsignatures.xml or macrosignatures.xml stream within the document to contain both "X509Data" and "KeyValue" children of the "KeyInfo" tag, which when opened caused LibreOffice to verify using the "KeyValue" but to report verification with the unrelated "X509Data" value. This issue affects: The Document Foundation LibreOffice 7.2 versions prior to 7.2.5.

redhat логотип

CVE-2021-25636

CVSS3: 6.2
redhat
больше 3 лет назад

LibreOffice supports digital signatures of ODF documents and macros within documents, presenting visual aids that no alteration of the document occurred since the last signing and that the signature is valid. An Improper Certificate Validation vulnerability in LibreOffice allowed an attacker to create a digitally signed ODF document, by manipulating the documentsignatures.xml or macrosignatures.xml stream within the document to contain both "X509Data" and "KeyValue" children of the "KeyInfo" tag, which when opened caused LibreOffice to verify using the "KeyValue" but to report verification with the unrelated "X509Data" value. This issue affects: The Document Foundation LibreOffice 7.2 versions prior to 7.2.5.

nvd логотип

CVE-2021-25636

CVSS3: 7.5
nvd
больше 3 лет назад

LibreOffice supports digital signatures of ODF documents and macros within documents, presenting visual aids that no alteration of the document occurred since the last signing and that the signature is valid. An Improper Certificate Validation vulnerability in LibreOffice allowed an attacker to create a digitally signed ODF document, by manipulating the documentsignatures.xml or macrosignatures.xml stream within the document to contain both "X509Data" and "KeyValue" children of the "KeyInfo" tag, which when opened caused LibreOffice to verify using the "KeyValue" but to report verification with the unrelated "X509Data" value. This issue affects: The Document Foundation LibreOffice 7.2 versions prior to 7.2.5.

debian логотип

CVE-2021-25636

CVSS3: 7.5
debian
больше 3 лет назад

LibreOffice supports digital signatures of ODF documents and macros wi ...

suse-cvrf логотип

openSUSE-SU-2022:0886-1

suse-cvrf
больше 3 лет назад

Security update for libreoffice

EPSS

Процентиль: 40%
0.00184
Низкий

6.3 Medium

CVSS3

5.7 Medium

CVSS2