遠端 AlmaLinux 8 主機已安裝受到多個弱點影響的套件如 ALSA-2023:0089 公告中所提及。

  - LibreOffice 支援 Office URI 配置，以啟用 LibreOffice 與 MS SharePoint 伺服器的瀏覽器整合。新增 LibreOffice 專屬的其他配置「vnd.libreoffice.command」。在受影響的 LibreOffice 版本中，使用該配置的連結可被建構爲使用任意引數呼叫內部巨集。當按一下連結或由文件事件啟動此連結時，可導致在沒有警告的情況下執行任意指令碼。此問題影響：The Document Foundation LibreOffice 7.4.1 之前的 7.4 版本、7.3.6 之前的 7.3 版本。(CVE-2022-3140)

  - LibreOffice 中存在憑證驗證不當弱點，程式僅透過比對所用憑證與受信任憑證的序號和發行者字串來判斷巨集是否由受信任的作者簽署。這不足以驗證此巨集是否確實使用此憑證簽署。因此，攻擊者可使用與受信任憑證相同的序號和發行者字串建立任意憑證，而 LibreOffice 會將此憑證顯示為屬於受信任的作者，這可能導致使用者執行錯誤信任的巨集中包含的任意程式碼。此問題影響：The Document Foundation LibreOffice 7.2.7 之前的 7.2 版本、7.3.1 之前的 7.3 版本。(CVE-2022-26305)

  - LibreOffice 支援在使用者的組態資料庫中儲存 Web 連線的密碼，
    儲存的密碼使用由使用者提供的單一主要金鑰加密。LibreOffice 中有一個缺陷，加密所需的初始化向量一律相同，這會削弱加密的安全性，若攻擊者有權存取使用者組態資料，則可對程式發動攻擊。此問題影響：The Document Foundation LibreOffice 7.2.7 之前的 7.2 版本、7.3.1 之前的 7.3 版本。(CVE-2022-26306)

  - LibreOffice 支援在使用者的組態資料庫中儲存 Web 連線的密碼，
    儲存的密碼使用由使用者提供的單一主要金鑰加密。LibreOffice 中有一個瑕疵，其中主金鑰編碼不當，導致其熵從 128 位元減弱為 43 位元，如果攻擊者有權存取使用者儲存的組態，則可對儲存的密碼執行暴力密碼破解攻擊。此問題影響：The Document Foundation LibreOffice 7.2.7 之前的 7.2 版本、7.3.3 之前的 7.3 版本。(CVE-2022-26307)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

リモートの Debian 11 ホストには、dsa-5252 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

  - LibreOffice は、Office URI スキームをサポートし、LibreOffice と MS SharePoint サーバーのブラウザ統合を可能にします。LibreOffice に固有の追加スキーム 'vnd.libreoffice.command' が追加されました。影響を受けるバージョンの LibreOffice では、そのスキームを使用するリンクが構築され、内部マクロが任意の引数で呼び出される可能性があります。クリックしたとき、またはドキュメントイベントによってアクティブになったときに、警告なしに任意のスクリプトが実行される可能性があります。この問題の影響を受ける対象:7.4.1より前の Document Foundation LibreOffice 7.4 バージョン; 7.3.6より前の 7.3 バージョン。(CVE-2022-3140)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの SUSE Linux SLED12/ SLED_SAP12 / SLES12 / SLES_SAP12 ホストには、SUSE-SU-2022:3602-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - LibreOffice には、マクロが信頼できる作成者によって署名されているかどうかを、使用される証明書のシリアル番号と発行者文字列を信頼できる証明書のものと照合するだけで判断する、不適切な証明書検証の脆弱性が存在します。これではマクロが実際に証明書で署名されていることを検証するには不十分です。したがって、攻撃者がシリアル番号と信頼できる証明書と同一の発行者文字列を使って任意の証明書を作成し、LibreOffice が信頼できる作成者のものであると提示し、ユーザーが不適切に信頼されたマクロに含まれる任意のコードを実行する可能性があります。この問題の影響を受ける対象:7.2.7より前の Document Foundation LibreOffice 7.2バージョン; 7.3.1より前の 7.3バージョン。(CVE-2022-26305)

  - LibreOffice はユーザーの設定データベースにおける Web 接続のパスワードの保存をサポートしています。
    保存されたパスワードは、ユーザーが提供した単一のマスターキーで暗号化されます。LibreOffice に欠陥が存在し、マスターキーのエンコードが不十分なために、エントロピーが 128 ビットから 43 ビットに弱められ、攻撃者がユーザーの保存済みの設定にアクセスできる場合、保存されているパスワードが総当たり攻撃に対して脆弱になります。この問題の影響を受ける対象:7.2.7より前の Document Foundation LibreOffice 7.2バージョン; 7.3.3より前の 7.3バージョン。(CVE-2022-26307)

  - LibreOffice は、Office URI スキームをサポートし、LibreOffice と MS SharePoint サーバーのブラウザ統合を可能にします。LibreOffice に固有の追加スキーム 'vnd.libreoffice.command' が追加されました。影響を受けるバージョンの LibreOffice では、そのスキームを使用するリンクが構築され、内部マクロが任意の引数で呼び出される可能性があります。クリックしたとき、またはドキュメントイベントによってアクティブになったときに、警告なしに任意のスクリプトが実行される可能性があります。この問題の影響を受ける対象:7.4.1より前の Document Foundation LibreOffice 7.4バージョン; 7.3.6より前の 7.3バージョン。(CVE-2022-3140)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Oracle Linux 9 ホストに、ELSA-2023-0304アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - LibreOffice は、Office URI スキームをサポートし、LibreOffice と MS SharePoint サーバーのブラウザ統合を可能にします。LibreOffice に固有の追加スキーム 'vnd.libreoffice.command' が追加されました。影響を受けるバージョンの LibreOffice では、そのスキームを使用するリンクが構築され、内部マクロが任意の引数で呼び出される可能性があります。クリックしたとき、またはドキュメントイベントによってアクティブになったときに、警告なしに任意のスクリプトが実行される可能性があります。この問題の影響を受ける対象:7.4.1より前の Document Foundation LibreOffice 7.4バージョン; 7.3.6より前の 7.3バージョン。(CVE-2022-3140)

  - LibreOffice はユーザーの構成データベースにおける Web 接続のパスワードの保存をサポートしています。
    保存されたパスワードは、ユーザーが提供した単一のマスターキーで暗号化されます。LibreOffice に欠陥が存在し、マスターキーのエンコードが不十分なために、エントロピーが 128 ビットから 43 ビットに弱められ、攻撃者がユーザーの保存済みの構成にアクセスできる場合、保存されているパスワードが総当たり攻撃に対して脆弱になります。この問題の影響を受ける対象:7.2.7より前の Document Foundation LibreOffice 7.2バージョン; 7.3.3より前の 7.3バージョン。(CVE-2022-26307)

  - LibreOffice には、マクロが信頼できる作成者によって署名されているかどうかを、使用される証明書のシリアル番号と発行者文字列を信頼できる証明書のものと照合するだけで判断する、不適切な証明書検証の脆弱性が存在します。これではマクロが実際に証明書で署名されていることを検証するには不十分です。したがって、攻撃者がシリアル番号と信頼できる証明書と同一の発行者文字列を使って任意の証明書を作成し、LibreOffice が信頼できる作成者のものであると提示し、ユーザーが不適切に信頼されたマクロに含まれる任意のコードを実行する可能性があります。この問題の影響を受ける対象:7.2.7より前の Document Foundation LibreOffice 7.2バージョン; 7.3.1より前の 7.3バージョン。(CVE-2022-26305)

  - LibreOffice はユーザーの構成データベースにおける Web 接続のパスワードの保存をサポートしています。
    保存されたパスワードは、ユーザーが提供した単一のマスターキーで暗号化されます。LibreOffice に欠陥が存在し、暗号化に必要な初期化ベクトルが常に同じであったため、攻撃者がユーザーの構成データにアクセスできる場合、暗号化のセキュリティが弱められ、脆弱になりました。この問題の影響を受ける対象:7.2.7より前の Document Foundation LibreOffice 7.2バージョン; 7.3.1より前の 7.3バージョン。(CVE-2022-26306)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのAlmaLinux 8ホストには、ALSA-2023:0089アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - LibreOffice は、Office URI スキームをサポートし、LibreOffice と MS SharePoint サーバーのブラウザ統合を可能にします。LibreOffice に固有の追加スキーム 'vnd.libreoffice.command' が追加されました。影響を受けるバージョンの LibreOffice では、そのスキームを使用するリンクが構築され、内部マクロが任意の引数で呼び出される可能性があります。クリックしたとき、またはドキュメントイベントによってアクティブになったときに、警告なしに任意のスクリプトが実行される可能性があります。この問題の影響を受ける対象: 7.4.1 より前の Document Foundation LibreOffice 7.4 バージョン; 7.3.6 より前の 7.3 バージョン。(CVE-2022-3140)

  - LibreOffice には、マクロが信頼できる作成者によって署名されているかどうかを、使用される証明書のシリアル番号と発行者文字列を信頼できる証明書のものと照合するだけで判断する、不適切な証明書検証の脆弱性が存在します。これではマクロが実際に証明書で署名されていることを検証するには不十分です。したがって、攻撃者がシリアル番号と信頼できる証明書と同一の発行者文字列を使って任意の証明書を作成し、LibreOffice が信頼できる作成者のものであると提示し、ユーザーが不適切に信頼されたマクロに含まれる任意のコードを実行する可能性があります。この問題の影響を受ける対象: 7.2.7 より前の Document Foundation LibreOffice 7.2 バージョン; 7.3.1 より前の 7.3 バージョン。(CVE-2022-26305)

  - LibreOffice はユーザーの設定データベースにおける Web 接続のパスワードの保存をサポートしています。
    保存されたパスワードは、ユーザーが提供した単一のマスターキーで暗号化されます。LibreOffice に欠陥が存在し、暗号化に必要な初期化ベクトルが常に同じであったため、攻撃者がユーザーの設定データにアクセスできる場合、暗号化のセキュリティが弱められ、脆弱になりました。この問題の影響を受ける対象: 7.2.7 より前の Document Foundation LibreOffice 7.2 バージョン; 7.3.1 より前の 7.3 バージョン。(CVE-2022-26306)

  - LibreOffice はユーザーの設定データベースにおける Web 接続のパスワードの保存をサポートしています。
    保存されたパスワードは、ユーザーが提供した単一のマスターキーで暗号化されます。LibreOffice に欠陥が存在し、マスターキーのエンコードが不十分なために、エントロピーが 128 ビットから 43 ビットに弱められ、攻撃者がユーザーの保存済みの設定にアクセスできる場合、保存されているパスワードが総当たり攻撃に対して脆弱になります。この問題の影響を受ける対象: 7.2.7 より前の Document Foundation LibreOffice 7.2 バージョン; 7.3.3 より前の 7.3 バージョン。(CVE-2022-26307)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

远程 Debian 11 主机上安装的多个程序包受到 dsa-5252 公告中提及的一个漏洞影响。

  - LibreOffice 支持 Office URI 方案，以实现 LibreOffice 与 MS SharePoint 服务器的浏览器集成。添加了一个特定于 LibreOffice 的额外方案“vnd.libreoffice.command”。在受影响的 LibreOffice 版本中，使用该方案的链接可被构造为使用任意参数调用内部宏。当点击该链接或由文档事件激活该链接时，可导致在没有警告的情况下执行任意脚本。此问题影响以下版本：7.4.1 之前的 Document Foundation LibreOffice 7.4 版；7.3.6 之前的 7.3 版。(CVE-2022-3140)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Oracle Linux 9 主机上安装的程序包受到 ELSA-2023-0304 公告中提及的多个漏洞的影响。

  - LibreOffice 支持 Office URI 方案，以实现 LibreOffice 与 MS SharePoint 服务器的浏览器集成。添加了一个特定于 LibreOffice 的额外方案“vnd.libreoffice.command”。在受影响的 LibreOffice 版本中，使用该方案的链接可被构造为使用任意参数调用内部宏。当点击该链接或由文档事件激活该链接时，可导致在没有警告的情况下执行任意脚本。此问题影响以下版本：7.4.1 之前的 Document Foundation LibreOffice 7.4 版；7.3.6 之前的 7.3 版。(CVE-2022-3140)

  - LibreOffice 支持在用户的配置数据库中存储 Web 连接的密码，
    存储的密码使用用户提供的单一主密钥加密。LibreOffice 中有一个缺陷，主密钥编码不当导致其熵从 128 位弱化到 43 位，如果攻击者有权访问用户存储的配置，则可对存储的密码执行暴力攻击。此问题影响以下版本：7.2.7 之前的 Document Foundation LibreOffice 7.2 版；7.3.3 之前的 7.3 版。(CVE-2022-26307)

  - LibreOffice 存在证书验证错误漏洞，程序仅通过匹配所用证书与受信任证书的序列号和颁发者字符串来确定宏是否由受信任的作者签名。这不足以验证宏是否实际使用此证书签名。因此，攻击者可使用与受信任的证书相同的序列号和颁发者字符串来创建任意证书，而 LibreOffice 会将其显示为属于受信任的作者，这可能导致用户执行错误信任的宏中包含的任意代码。此问题影响以下版本：7.2.7 之前的 Document Foundation LibreOffice 7.2 版；7.3.1 之前的 7.3 版。(CVE-2022-26305)

  - LibreOffice 支持在用户的配置数据库中存储 Web 连接的密码，
    存储的密码使用用户提供的单一主密钥加密。LibreOffice 中有一个缺陷，加密所需的初始化向量始终相同，这会削弱加密的安全性，如果攻击者有权访问用户的配置数据，即可执行攻击。此问题影响以下版本：7.2.7 之前的 Document Foundation LibreOffice 7.2 版；7.3.1 之前的 7.3 版。(CVE-2022-26306)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 AlmaLinux 8 主机上存在安装的程序包该程序包受到 ALSA-2023:0089 公告中提及的多个漏洞的影响。

  - LibreOffice 支持 Office URI 方案，以实现 LibreOffice 与 MS SharePoint 服务器的浏览器集成。添加了一个特定于 LibreOffice 的额外方案“vnd.libreoffice.command”。在受影响的 LibreOffice 版本中，使用该方案的链接可被构造为使用任意参数调用内部宏。当点击该链接或由文档事件激活该链接时，可导致在没有警告的情况下执行任意脚本。此问题会影响到以下版本：7.4.1 之前的 Document Foundation LibreOffice 7.4 版本；7.3.6 之前的 7.3 版本。(CVE-2022-3140)

  - LibreOffice 存在证书验证错误漏洞，程序仅通过匹配所用证书与受信任证书的序列号和颁发者字符串来确定宏是否由受信任的作者签名。这不足以验证宏是否实际使用此证书签名。因此，攻击者可使用与受信任的证书相同的序列号和颁发者字符串来创建任意证书，而 LibreOffice 会将其显示为属于受信任的作者，这可能导致用户执行错误信任的宏中包含的任意代码。此问题会影响到以下版本：7.2.7 之前的 Document Foundation LibreOffice 7.2 版本；7.3.1 之前的 7.3 版本。(CVE-2022-26305)

  - LibreOffice 支持在用户的配置数据库中存储 Web 连接的密码，
    存储的密码使用用户提供的单一主密钥加密。LibreOffice 中有一个缺陷，加密所需的初始化向量始终相同，这会削弱加密的安全性，如果攻击者有权访问用户的配置数据，即可执行攻击。此问题会影响到以下版本：7.2.7 之前的 Document Foundation LibreOffice 7.2 版本；7.3.1 之前的 7.3 版本。(CVE-2022-26306)

  - LibreOffice 支持在用户的配置数据库中存储 Web 连接的密码，
    存储的密码使用用户提供的单一主密钥加密。LibreOffice 中有一个缺陷，主密钥编码不当导致其熵从 128 位弱化到 43 位，如果攻击者有权访问用户存储的配置，则可对存储的密码执行暴力攻击。此问题会影响到以下版本：7.2.7 之前的 Document Foundation LibreOffice 7.2 版本；7.3.3 之前的 7.3 版本。(CVE-2022-26307)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	Name	Product	Family	Published	Updated	Severity
170049	AlmaLinux 8libreoffice (ALSA-2023:0089)	Nessus	Alma Linux Local Security Checks	1/14/2023	1/14/2023	high
166093	Debian DSA-5252-1: libreoffice - セキュリティ更新	Nessus	Debian Local Security Checks	10/13/2022	6/1/2023	medium
166186	SUSE SLED12/ SLES12 セキュリティ更新プログラム: libreoffice (SUSE-SU-2022:3602-1 )	Nessus	SuSE Local Security Checks	10/18/2022	7/13/2023	high
170516	Oracle Linux 9: libreoffice (ELSA-2023-0304 )	Nessus	Oracle Linux Local Security Checks	1/24/2023	11/1/2024	high
170049	AlmaLinux 8libreofficeALSA-2023:0089	Nessus	Alma Linux Local Security Checks	1/14/2023	1/14/2023	high
166093	Debian DSA-5252-1：libreoffice - 安全更新	Nessus	Debian Local Security Checks	10/13/2022	6/1/2023	medium
170516	Oracle Linux 9：httpd (ELSA-2023-0304)	Nessus	Oracle Linux Local Security Checks	1/24/2023	11/1/2024	high
170049	AlmaLinux 8libreoffice (ALSA-2023:0089)	Nessus	Alma Linux Local Security Checks	1/14/2023	1/14/2023	high

Detections

Analytics

Plugins Search

high

medium

high

high

high

medium

high

high