La suite libera e completa per l'ufficio
Disponibile per i test Apache OpenOffice 4.1.0-beta

CVE-2012-0037

Vulnerabilità di sottrazione di dati in OpenOffice.org

Pericolosità: Significativa

Fornitore: The Apache Software Foundation

Versioni affette dal problema:

Descrizione:

Descrizione: È possibile un attacco di tipo entità esterna XML (XXE) alle sopracitate versioni di OpenOffice.org. Questa vulnerabilità sfrutta il modo in cui vengono processate delle entità esterne in alcuni componenti XML nei documenti ODF. Utilizzando una entità esterna che fa riferimento ad altre risorse del file system, un attaccante sarebbe in grado di inserire i contenuti di altri files accessibili localmente in un documento ODF, senza che l'utilizzatore ne sia a conoscenza o abbia autorizzato questa operazione. In questo modo quando quel documento viene inoltrato ad altri, i dati potrebbero essere rubati.

Soluzione

Gli utilizzatori di OpenOffice.org 3.3.0 e 3.4 beta possono aggiornare la loro installazione con le seguenti patch. Effettuare il download, estrarre i file e seguire le istruzioni indicate nel file readme.pdf incluso (in inglese) o nella sua traduzione italiana.

Problema risolto anche nelle versioni di sviluppo di Apache OpenOffice 3.4 dal 01.03.2012.

Verificare l'integrità dei files scaricati

Forniamo gli hash MD5 e SHA1 di queste patch, unitamente alla firma digitale, per coloro che desiderano verificare l'integrità di questi files.

Gli hash MD5 e SHA1 possono essere verificati utilizzando gli strumenti di Unix (sha1, sha1sum o md5sum).

Le firme PGP possono venir verificate utilizzando PGP or GPG. Come primo passo scaricate i files KEYS, unitamente alla file di firma asc per la patch qui sopra. Sinceratevi di scaricare dalla directory di distribuzione principale e non da un mirror. Quindi, eseguite la verifica come segue:

% pgpk -a KEYS
% pgpv CVE-2012-0037-{win|mac}.zip.asc
o
% pgp -ka KEYS
% pgp CVE-2012-0037-{win|mac}.zip.asc
o
% gpg --import KEYS
% gpg --verify CVE-2012-0037-{win|mac}.zip.asc

Sorgente e compilazione

Le Informazioni per ottenere il codice sorgente di questa patch e, quindi per trasferirlo o adattarlo ai derivati di OpenOffice.org sono qui.

Riconoscimenti:

Apache OpenOffice project ringrazia lo scopritore di questa problematica: Timothy D. Morgan di Virtual Security Research, LLC.


Versione ufficiale inglese: Sicurezza ->Notizie -> CVE-2012-0037

Apache Software Foundation

Copyright & License | Privacy | Website Feedback | Contact Us | Donate | Thanks

Apache, the Apache feather logo, and OpenOffice are trademarks of The Apache Software Foundation. OpenOffice.org and the seagull logo are registered trademarks of The Apache Software Foundation. Other names appearing on the site may be trademarks of their respective owners.