RHEL 9: libreoffice (RHSA-2023: 6508)

high Nessus プラグイン ID 185155

概要

リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 6508 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Apache OpenOffice の 4.1.14 より前のバージョンは、Java クラスパスに空のエントリを追加するように設定されている場合があります。
これにより、現在のディレクトリから任意の Java コードが実行される可能性があります。(CVE-2022-38745)

-The Document Foundation LibreOffice のスプレッドシートコンポーネントにある配列インデックスの不適切な検証の脆弱性により、攻撃者は、ロードされたときに配列インデックスのアンダーフローを引き起こす細工したスプレッドシートドキュメントを作成できます。影響を受けるバージョンの LibreOffice で、AGGREGATE などの特定の無効な形式のスプレッドシート数式が、予期される数よりも少ないパラメーターを数式インタープリターに渡して作成されて、配列インデックスのアンダーフローを引き起こし、任意のコードが実行されるリスクがあります。
この問題の影響を受ける対象:7.4.6より前の Document Foundation LibreOffice 7.4バージョン; 7.5.1より前の 7.5バージョン。(CVE-2023-0950)

- Libreoffice パッケージに欠陥が見つかりました。攻撃者は、SCRIPT コマンドでデータベース/スクリプトファイルを含む odb を細工し、攻撃者が決定した場所にある新しいファイルにファイルの内容を書き込む可能性があります。(CVE-2023-1183)

-The Document Foundation LibreOffice のエディターコンポーネントの不適切なアクセスコントロールにより、攻撃者が細工したドキュメントを作成し外部リンクをプロンプトなしでロードする可能性があります。外部ファイルにリンクされた浮動フレームを使用する LibreOffice ドキュメントの影響を受けるバージョンでは、ユーザーにアクセス許可を求めることなく、これらのフレームのコンテンツをロードします。これは、LibreOffice の他のリンクされたコンテンツの処理と一致していませんでした。この問題の影響を受ける対象:7.4.7より前の Document Foundation LibreOffice 7.4バージョン; 7.5.3より前の 7.5バージョン。(CVE-2023-2255)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/CVE-2022-38745

https://access.redhat.com/security/cve/CVE-2023-0950

https://access.redhat.com/security/cve/CVE-2023-1183

https://access.redhat.com/security/cve/CVE-2023-2255

https://access.redhat.com/errata/RHSA-2023:6508

プラグインの詳細

深刻度: High

ID: 185155

ファイル名: redhat-RHSA-2023-6508.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2023/11/7

更新日: 2023/12/15

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.2

Temporal Score: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-0950

CVSS v3

リスクファクター: High

Base Score: 7.8

Temporal Score: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:libreoffice-help-et, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-eu, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-fi, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-fr, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-gl, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-gu, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-he, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-hi, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-hr, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-hu, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-id, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-it, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-ja, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-ko, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:autocorr-af, p-cpe:/a:redhat:enterprise_linux:autocorr-bg, p-cpe:/a:redhat:enterprise_linux:autocorr-ca, p-cpe:/a:redhat:enterprise_linux:autocorr-cs, p-cpe:/a:redhat:enterprise_linux:autocorr-da, p-cpe:/a:redhat:enterprise_linux:autocorr-de, p-cpe:/a:redhat:enterprise_linux:autocorr-dsb, p-cpe:/a:redhat:enterprise_linux:autocorr-el, p-cpe:/a:redhat:enterprise_linux:autocorr-en, p-cpe:/a:redhat:enterprise_linux:autocorr-es, p-cpe:/a:redhat:enterprise_linux:autocorr-fa, p-cpe:/a:redhat:enterprise_linux:autocorr-fi, p-cpe:/a:redhat:enterprise_linux:autocorr-fr, p-cpe:/a:redhat:enterprise_linux:autocorr-ga, p-cpe:/a:redhat:enterprise_linux:autocorr-hr, p-cpe:/a:redhat:enterprise_linux:autocorr-hsb, p-cpe:/a:redhat:enterprise_linux:autocorr-hu, p-cpe:/a:redhat:enterprise_linux:autocorr-is, p-cpe:/a:redhat:enterprise_linux:autocorr-it, p-cpe:/a:redhat:enterprise_linux:autocorr-ja, p-cpe:/a:redhat:enterprise_linux:autocorr-ko, p-cpe:/a:redhat:enterprise_linux:autocorr-lb, p-cpe:/a:redhat:enterprise_linux:autocorr-lt, p-cpe:/a:redhat:enterprise_linux:autocorr-mn, p-cpe:/a:redhat:enterprise_linux:autocorr-nl, p-cpe:/a:redhat:enterprise_linux:autocorr-pl, p-cpe:/a:redhat:enterprise_linux:autocorr-pt, p-cpe:/a:redhat:enterprise_linux:autocorr-ro, p-cpe:/a:redhat:enterprise_linux:autocorr-ru, p-cpe:/a:redhat:enterprise_linux:autocorr-sk, p-cpe:/a:redhat:enterprise_linux:autocorr-sl, p-cpe:/a:redhat:enterprise_linux:autocorr-sr, p-cpe:/a:redhat:enterprise_linux:autocorr-sv, p-cpe:/a:redhat:enterprise_linux:autocorr-tr, p-cpe:/a:redhat:enterprise_linux:autocorr-vi, p-cpe:/a:redhat:enterprise_linux:autocorr-vro, p-cpe:/a:redhat:enterprise_linux:autocorr-zh, p-cpe:/a:redhat:enterprise_linux:libreoffice, p-cpe:/a:redhat:enterprise_linux:libreoffice-base, p-cpe:/a:redhat:enterprise_linux:libreoffice-calc, p-cpe:/a:redhat:enterprise_linux:libreoffice-core, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-lt, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-lv, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-nb, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-nl, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-nn, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-pl, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-pt-br, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-pt-pt, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-ro, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-ru, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-si, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-sk, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-sl, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-sv, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-ta, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-tr, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-uk, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-zh-hans, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-zh-hant, p-cpe:/a:redhat:enterprise_linux:libreoffice-impress, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-af, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-ar, p-cpe:/a:redhat:enterprise_linux:libreoffice-data, p-cpe:/a:redhat:enterprise_linux:libreoffice-draw, p-cpe:/a:redhat:enterprise_linux:libreoffice-emailmerge, p-cpe:/a:redhat:enterprise_linux:libreoffice-filters, p-cpe:/a:redhat:enterprise_linux:libreoffice-gdb-debug-support, p-cpe:/a:redhat:enterprise_linux:libreoffice-graphicfilter, p-cpe:/a:redhat:enterprise_linux:libreoffice-gtk3, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-ar, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-bg, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-bn, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-ca, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-cs, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-da, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-de, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-dz, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-el, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-en, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-eo, p-cpe:/a:redhat:enterprise_linux:libreoffice-help-es, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-eo, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-es, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-et, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-eu, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-fa, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-fi, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-fr, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-fy, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-ga, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-gl, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-gu, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-he, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-hi, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-hr, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-hu, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-id, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-it, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-ja, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-kk, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-kn, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-ko, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-lt, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-lv, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-mai, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-ml, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-mr, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-nb, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-nl, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-nn, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-nr, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-nso, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-or, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-pa, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-pl, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-pt-br, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-pt-pt, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-ro, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-ru, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-si, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-sk, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-sl, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-sr, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-ss, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-st, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-sv, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-ta, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-te, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-th, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-tn, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-tr, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-ts, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-uk, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-ve, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-xh, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-zh-hans, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-zh-hant, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-zu, p-cpe:/a:redhat:enterprise_linux:libreoffice-math, p-cpe:/a:redhat:enterprise_linux:libreoffice-ogltrans, p-cpe:/a:redhat:enterprise_linux:libreoffice-opensymbol-fonts, p-cpe:/a:redhat:enterprise_linux:libreoffice-pdfimport, p-cpe:/a:redhat:enterprise_linux:libreoffice-pyuno, p-cpe:/a:redhat:enterprise_linux:libreoffice-sdk, p-cpe:/a:redhat:enterprise_linux:libreoffice-sdk-doc, p-cpe:/a:redhat:enterprise_linux:libreoffice-ure, p-cpe:/a:redhat:enterprise_linux:libreoffice-ure-common, p-cpe:/a:redhat:enterprise_linux:libreoffice-wiki-publisher, p-cpe:/a:redhat:enterprise_linux:libreoffice-writer, p-cpe:/a:redhat:enterprise_linux:libreoffice-x11, p-cpe:/a:redhat:enterprise_linux:libreoffice-xsltfilter, p-cpe:/a:redhat:enterprise_linux:libreofficekit, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-as, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-bg, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-bn, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-br, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-ca, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-cs, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-cy, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-da, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-de, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-dz, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-el, p-cpe:/a:redhat:enterprise_linux:libreoffice-langpack-en

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/11/7

脆弱性公開日: 2023/3/24

参照情報

CVE: CVE-2022-38745, CVE-2023-0950, CVE-2023-1183, CVE-2023-2255

CWE: 1188, 129, 20, 427, 94

IAVB: 2023-B-0037-S

RHSA: 2023:6508