PT-2021-4646 · Document Foundation+9 · Libreoffice+9

Publicado

2021-05-17

·

Atualizado

2022-05-10

·

CVE-2021-25633

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do LibreOffice 7.0.0 a 7.0.5
Versões do LibreOffice 7.1.0 a 7.1.1
Descrição
O problema está relacionado à validação incorreta de certificados no LibreOffice, permitindo que um invasor manipule o fluxo documentsignatures.xml ou macrosignatures.xml dentro de um documento. Essa manipulação pode fazer com que o LibreOffice exiba um indicador de assinatura válida para um documento cujo conteúdo não tenha relação com a assinatura exibida. O invasor pode criar um documento ODF assinado digitalmente combinando vários dados de certificados.
Recomendações
Para as versões 7.0.0 a 7.0.5 do LibreOffice, atualize para a versão 7.0.6 ou posterior.
Para as versões 7.1.0 a 7.1.1 do LibreOffice, atualize para a versão 7.1.2 ou posterior.
Como solução temporária, considere restringir o uso de assinaturas digitais no LibreOffice até que um patch seja aplicado. Evite abrir documentos de fontes desconhecidas ou não confiáveis, especialmente aqueles com assinaturas digitais.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

ALSA-2022:1766
ALT-PU-2021-1816
ALT-PU-2021-1843
ALT-PU-2021-1847
ALT-PU-2021-2151
ALT-PU-2021-3043
ALT-PU-2021-3077
BDU:2021-05337
CESA-2022_1766
CVE-2021-25633
DSA-4988-1
MGASA-2021-0471
RHSA-2022:1766
RHSA-2022_1766
RLSA-2022:1766
USN-5153-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Libreoffice
Linuxmint
Red Hat
Red Os
Rocky Linux
Ubuntu