Уязвимость некорректной валидации сертификата в LibreOffice, позволяющая создавать поддельные цифровые подписи в ODF-документах
Описание
LibreOffice поддерживает цифровые подписи для ODF-документов и макросов, предоставляя визуальные индикаторы того, что с документацией не было изменений после последней подписи и что подпись является действительной. Уязвимость некорректной валидации сертификата в LibreOffice позволяет злоумышленнику создавать цифровые подписанные ODF-документы путем изменения documentsignatures.xml или macrosignatures.xml в документе для объединения данных нескольких сертификатов. При открытии таких документов LibreOffice отображает индикатор действительности подписи, хотя их содержимое не соответствует показанной подписи.
Затронутые версии ПО
- The Document Foundation LibreOffice 7-0 версии до 7.0.6
- The Document Foundation LibreOffice 7-1 версии до 7.1.2
Тип уязвимости
Некорректная валидация сертификата
Ссылки
- Third Party Advisory
- Vendor Advisory
- Third Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
7.5 High
CVSS3
5 Medium
CVSS2
Дефекты
Связанные уязвимости
LibreOffice supports digital signatures of ODF documents and macros within documents, presenting visual aids that no alteration of the document occurred since the last signing and that the signature is valid. An Improper Certificate Validation vulnerability in LibreOffice allowed an attacker to create a digitally signed ODF document, by manipulating the documentsignatures.xml or macrosignatures.xml stream within the document to combine multiple certificate data, which when opened caused LibreOffice to display a validly signed indicator but whose content was unrelated to the signature shown. This issue affects: The Document Foundation LibreOffice 7-0 versions prior to 7.0.6; 7-1 versions prior to 7.1.2.
LibreOffice supports digital signatures of ODF documents and macros within documents, presenting visual aids that no alteration of the document occurred since the last signing and that the signature is valid. An Improper Certificate Validation vulnerability in LibreOffice allowed an attacker to create a digitally signed ODF document, by manipulating the documentsignatures.xml or macrosignatures.xml stream within the document to combine multiple certificate data, which when opened caused LibreOffice to display a validly signed indicator but whose content was unrelated to the signature shown. This issue affects: The Document Foundation LibreOffice 7-0 versions prior to 7.0.6; 7-1 versions prior to 7.1.2.
LibreOffice supports digital signatures of ODF documents and macros wi ...
LibreOffice supports digital signatures of ODF documents and macros within documents, presenting visual aids that no alteration of the document occurred since the last signing and that the signature is valid. An Improper Certificate Validation vulnerability in LibreOffice allowed an attacker to create a digitally signed ODF document, by manipulating the documentsignatures.xml or macrosignatures.xml stream within the document to combine multiple certificate data, which when opened caused LibreOffice to display a validly signed indicator but whose content was unrelated to the signature shown. This issue affects: The Document Foundation LibreOffice 7-0 versions prior to 7.0.6; 7-1 versions prior to 7.1.2.
EPSS
7.5 High
CVSS3
5 Medium
CVSS2