ГлавнаяБаза уязвимостей БДУ → BDU:2022-06246
10критическая

BDU:2022-06246 (CVE-2022-3140)

Уязвимость реализации схемы vnd.libreoffice.command пакета офисных программ LibreOffice, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-10-13
Описание

Уязвимость реализации схемы vnd.libreoffice.command пакета офисных программ LibreOffice связана с возможностью вызова внутренних макросов с произвольными аргументами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)LibreOffice (до 7.3.6)LibreOffice (до 7.4.1)ОСОН ОСнова Оnyx (до 2.7)ОС ОН «Стрелец» (до 20.10.2023)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности запуска макросов;
- блокирование выполнения URI-команд;
- открытие документов только из доверенных источников.

Использование рекомендаций производителя:
https://www.libreoffice.org/about-us/security/advisories/CVE-2022-3140

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения libreoffice до версии 4:7.4.5+repack-1~bpo11+1osnova1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для ОС ОН «Стрелец»:
Обновление программного обеспечения libreoffice до версии 1:6.1.5+repack-3+deb10u8.strelets1

Для Astra Linux 1.6 «Смоленск»:
обновить пакет libreoffice до 1:6.4.7-0ubuntu0.20.04.7+ci202305311407+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.libreoffice.org/about-us/security/advisories/cve-2022-3140/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MDhttps://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MDhttps://strelets.net/patchi-i-obnovleniya-bezopasnosti#20102023https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена