CVE-2012-0037
Vulnerabilità di sottrazione di dati in OpenOffice.org
Pericolosità: Significativa
Fornitore: The Apache Software Foundation
Versioni affette dal problema:
- OpenOffice.org 3.3 e 3.4 Beta, su tutte le piattaforme.
- Può interessare anche versioni precedenti.
Descrizione:
Descrizione: È possibile un attacco di tipo entità esterna XML (XXE) alle sopracitate versioni di OpenOffice.org. Questa vulnerabilità sfrutta il modo in cui vengono processate delle entità esterne in alcuni componenti XML nei documenti ODF. Utilizzando una entità esterna che fa riferimento ad altre risorse del file system, un attaccante sarebbe in grado di inserire i contenuti di altri files accessibili localmente in un documento ODF, senza che l'utilizzatore ne sia a conoscenza o abbia autorizzato questa operazione. In questo modo quando quel documento viene inoltrato ad altri, i dati potrebbero essere rubati.
Soluzione
Gli utilizzatori di OpenOffice.org 3.3.0 e 3.4 beta possono aggiornare la loro installazione con le seguenti patch. Effettuare il download, estrarre i file e seguire le istruzioni indicate nel file readme.pdf incluso (in inglese) o nella sua traduzione italiana.
- Per piattaforma Windows (MD5) (SHA1)
- Per piattaforma MacOS (MD5) (SHA1)
- Per Linux e altre piattaforme, consultare il proprio distributore o venditore di sistema operativo per istruzioni circa la patch.
Problema risolto anche nelle versioni di sviluppo di Apache OpenOffice 3.4 dal 01.03.2012.
Verificare l'integrità dei files scaricati
Forniamo gli hash MD5 e SHA1 di queste patch, unitamente alla firma digitale, per coloro che desiderano verificare l'integrità di questi files.
Gli hash MD5 e SHA1 possono essere verificati utilizzando gli strumenti di Unix (sha1, sha1sum o md5sum).
Le firme PGP possono venir verificate utilizzando PGP or GPG. Come primo passo scaricate i files KEYS, unitamente alla file di firma asc per la patch qui sopra. Sinceratevi di scaricare dalla directory di distribuzione principale e non da un mirror. Quindi, eseguite la verifica come segue:
% pgpk -a KEYS
o
% pgpv CVE-2012-0037-{win|mac}.zip.asc
% pgp -ka KEYS
o
% pgp CVE-2012-0037-{win|mac}.zip.asc
% gpg --import KEYS
% gpg --verify CVE-2012-0037-{win|mac}.zip.asc
Sorgente e compilazione
Le Informazioni per ottenere il codice sorgente di questa patch e, quindi per trasferirlo o adattarlo ai derivati di OpenOffice.org sono qui.
Riconoscimenti:
Apache OpenOffice project ringrazia lo scopritore di questa problematica: Timothy D. Morgan di Virtual Security Research, LLC.
Versione ufficiale inglese: Sicurezza ->Notizie -> CVE-2012-0037