Összefoglaló
Az OpenOffice.org olyan sérülékenységei váltak ismertté, amelyeket támadók kihasználhatnak bizonyos adatok manipulálására vagy egy felhasználó rendszerének feltörésére.
Leírás
Az OpenOffice.org olyan sérülékenységei váltak ismertté, amelyeket támadók kihasználhatnak bizonyos adatok manipulálására vagy egy felhasználó rendszerének feltörésére.
- A sérülékenységet a TLS protokoll munkafolyamat újraegyeztetés folyamán fellépő hibája okozza. Ez középreállás (Man-in-the-Middle) támadással kihasználható tetszőleges kódolatlan szöveg beszúrására, mielőtt a valódi kliens adatot küldene a már létező TLS munkamenetben. A sérülékenység sikeres kiaknázása tetszőleges HTTP kérés elküldését teheti lehetővé hitelesítésként, ha a szerveren tanúsítvány alapú hitelesítést használnak.
- A python kód scripting IDE-n keresztüli böngészésekor jelentkező hiba kihasználható tetszőleges kód futtatására.
A sérülékenységeket a 3.2.1-est megelőző verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.openoffice.org
Gyártói referencia: www.openoffice.org
SECUNIA 40070
SECUNIA 37291
CVE-2009-3555 - NVD CVE-2009-3555
CVE-2010-0395 - NVD CVE-2010-0395