W trybie LibreOfficeKit weryfikacja certyfikatów TLS była całkowicie wyłączona, co umożliwia przeprowadzenie ataku typu man-in-the-middle na połączenia sieciowe. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją krytyczną dla wszystkich środowisk wykorzystujących LibreOfficeKit jako bibliotekę.
▸ Pokaż oryginał (EN)
Improper Certificate Validation vulnerability in LibreOffice "LibreOfficeKit" mode disables TLS certification verification LibreOfficeKit can be used for accessing LibreOffice functionality through C/C++. Typically this is used by third party components to reuse LibreOffice as a library to convert, view or otherwise interact with documents. LibreOffice internally makes use of "curl" to fetch remote resources such as images hosted on webservers. In affected versions of LibreOffice, when used in LibreOfficeKit mode only, then curl's TLS certification verification was disabled (CURLOPT_SSL_VERIFYPEER of false) In the fixed versions curl operates in LibreOfficeKit mode the same as in standard mode with CURLOPT_SSL_VERIFYPEER of true. This issue affects LibreOffice before version 24.2.4.
LibreOffice wewnętrznie korzysta z biblioteki curl do pobierania zdalnych zasobów, takich jak obrazy hostowane na serwerach WWW. W wersjach podatnych, gdy LibreOffice działał w trybie LibreOfficeKit, opcja curl CURLOPT_SSL_VERIFYPEER była ustawiona na false, co oznaczało całkowite pominięcie weryfikacji certyfikatu serwera TLS. Atakujący mający możliwość przeprowadzenia ataku man-in-the-middle mógł podszywać się pod dowolny serwer zdalny bez wykrycia przez aplikację. W poprawionych wersjach tryb LibreOfficeKit działa identycznie jak tryb standardowy — z włączoną opcją CURLOPT_SSL_VERIFYPEER ustawioną na true.
Atakujący może przeprowadzić atak man-in-the-middle, przechwytując lub modyfikując zasoby pobierane przez LibreOffice (np. zdalne obrazy), a także potencjalnie wstrzykiwać złośliwą zawartość do przetwarzanych dokumentów. Brak weryfikacji tożsamości serwera naraża poufność i integralność danych przesyłanych przez szyfrowane połączenia TLS.
Należy zaktualizować LibreOffice do wersji 24.2.4 lub nowszej, w której opcja CURLOPT_SSL_VERIFYPEER jest prawidłowo ustawiona na true również w trybie LibreOfficeKit. Szczegóły dostępne w komunikacie bezpieczeństwa producenta: https://www.libreoffice.org/about-us/security/advisories/cve-2024-5261
LibreOffice w wersji przed 24.2.4, wyłącznie w trybie LibreOfficeKit (wykorzystywanym przez komponenty zewnętrzne korzystające z LibreOffice jako biblioteki C/C++)
Podatność dotyczy wyłącznie zastosowań LibreOffice jako biblioteki w trybie LibreOfficeKit — standardowe instalacje desktopowe LibreOffice nie są dotknięte tym problemem, o ile nie korzystają z interfejsu LibreOfficeKit.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XLibreoffice
APPLibreoffice< 24.2.4
Powiązane podatności
LibreOffice is typically bundled with LibreLogo, a programmable turtle vector graphics script, which can execu...
LibreOffice is typically bundled with LibreLogo, a programmable turtle vector graphics script, which can execu...
LibreOffice is typically bundled with LibreLogo, a programmable turtle vector graphics script, which can execu...
LibreOffice has a feature where documents can specify that pre-installed scripts can be executed on various do...
The get_app_path function in desktop/unx/source/start.c in LibreOffice through 6.0.5 mishandles the realpath f...