BDU:2023-01592
АО "НППКТ", ООО «РусБИТех-Астра», Apache Software Foundation OpenOffice, Astra Linux Special Edition, ОСОН ОСнова Оnyx
2023-03-24
Уязвимость пакета офисных программ Apache OpenOffice связана с возможностью добавления пустой записи в путь к Java-классу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём загрузки специально сформированного java-файла
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование средств антивирусной защиты для проверки загружаемых/запускаемых файлов; - ограничение доступа/возможности записи в рабочий каталог LibreOffice; - использование замкнутой программной среды для запуска файлов, полученных из недоверенных источников.
Использование рекомендаций: https://www.openoffice.org/security/cves/CVE-2022-38745.html https://lists.apache.org/thread/q3noq7m681kvtb29m28x74q8cnwnzzo0
Для Astra Linux 1.6 «Смоленск»: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20230525SE16MD
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения libreoffice до версии 4:7.4.5+repack-3~bpo11+1osnova1
Для Astra Linux 1.6 «Смоленск»: обновить пакет libreoffice до 1:6.4.7-0ubuntu0.20.04.7+ci202305311407+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16