OpenOffice.org adat manipuláció és kód futtatás sérülékenységek

CH azonosító

CH-3186

Felfedezés dátuma

2010.06.06.

Súlyosság

Közepes

Érintett rendszerek

OpenOffice
Openoffice.org

Érintett verziók

Openoffice.org OpenOffice 3.x

Összefoglaló

Az OpenOffice.org olyan sérülékenységei váltak ismertté, amelyeket támadók kihasználhatnak bizonyos adatok manipulálására vagy egy felhasználó rendszerének feltörésére.

Leírás

Az OpenOffice.org olyan sérülékenységei váltak ismertté, amelyeket támadók kihasználhatnak bizonyos adatok manipulálására vagy egy felhasználó rendszerének feltörésére.

  1. A sérülékenységet a TLS protokoll munkafolyamat újraegyeztetés folyamán fellépő hibája okozza. Ez középreállás (Man-in-the-Middle) támadással kihasználható tetszőleges kódolatlan szöveg beszúrására, mielőtt a valódi kliens adatot küldene a már létező TLS munkamenetben. A sérülékenység sikeres kiaknázása tetszőleges HTTP kérés elküldését teheti lehetővé hitelesítésként, ha a szerveren tanúsítvány alapú hitelesítést használnak.
  2. A python kód scripting IDE-n keresztüli böngészésekor jelentkező hiba kihasználható tetszőleges kód futtatására.

A sérülékenységeket a 3.2.1-est megelőző verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra