PT-2021-7389 · Document Foundation+8 · Libreoffice+8

Publicado

2021-05-17

·

Atualizado

2022-05-10

·

CVE-2021-25634

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
Versões do LibreOffice 7.0.0 a 7.0.5
Versões do LibreOffice 7.1.0 a 7.1.1
Descrição
O problema está relacionado a uma vulnerabilidade de validação incorreta de certificados no LibreOffice, que suporta assinaturas digitais de documentos ODF e macros dentro de documentos. Essa vulnerabilidade permitia que um invasor modificasse um documento ODF assinado digitalmente para inserir um carimbo de data/hora de assinatura adicional, que o LibreOffice apresentaria incorretamente como uma assinatura válida assinada na hora de assinatura falsa. A vulnerabilidade pode ser explorada por um invasor remoto para comprometer a integridade dos dados.
Recomendações
Para as versões 7.0.0 a 7.0.5 do LibreOffice, atualize para a versão 7.0.6 ou posterior.
Para as versões 7.1.0 a 7.1.1 do LibreOffice, atualize para a versão 7.1.2 ou posterior.
Como solução temporária, considere desativar o recurso de validação de assinatura digital até que um patch esteja disponível. Restrinja o acesso a documentos assinados digitalmente para minimizar o risco de exploração.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

ALSA-2022:1766
ALT-PU-2021-1816
ALT-PU-2021-1843
ALT-PU-2021-1847
ALT-PU-2021-2151
ALT-PU-2021-3043
ALT-PU-2021-3077
BDU:2022-05923
CESA-2022_1766
CVE-2021-25634
DSA-4988-1
MGASA-2021-0471
RHSA-2022:1766
RHSA-2022_1766
RLSA-2022:1766
USN-5153-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Libreoffice
Linuxmint
Red Hat
Rocky Linux
Ubuntu