ГлавнаяБаза уязвимостей БДУ → BDU:2023-01592
10критическая

BDU:2023-01592 (CVE-2022-38745)

Уязвимость пакета офисных программ Apache OpenOffice, связанная с возможностью добавления пустой записи в путь к Java-классу, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-03-28
Описание

Уязвимость пакета офисных программ Apache OpenOffice связана с возможностью добавления пустой записи в путь к Java-классу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём загрузки специально сформированного java-файла

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)OpenOffice (до 4.1.14)ОСОН ОСнова Оnyx (до 2.8)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств антивирусной защиты для проверки загружаемых/запускаемых файлов;
- ограничение доступа/возможности записи в рабочий каталог LibreOffice;
- использование замкнутой программной среды для запуска файлов, полученных из недоверенных источников.

Использование рекомендаций:
https://www.openoffice.org/security/cves/CVE-2022-38745.html
https://lists.apache.org/thread/q3noq7m681kvtb29m28x74q8cnwnzzo0

Для Astra Linux 1.6 «Смоленск»:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20230525SE16MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения libreoffice до версии 4:7.4.5+repack-3~bpo11+1osnova1

Для Astra Linux 1.6 «Смоленск»:
обновить пакет libreoffice до 1:6.4.7-0ubuntu0.20.04.7+ci202305311407+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.openoffice.org/security/cves/CVE-2022-38745.htmlhttps://lists.apache.org/thread/q3noq7m681kvtb29m28x74q8cnwnzzo0https://wiki.astralinux.ru/astra-linux-se16-bulletin-20230525SE16MDhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20231214SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена