CVE-2024-5261 (CVSS 10): LibreOffice Patches Critical Vulnerability in LibreOfficeKit
2024/06/30 SecurityOnline — 人気の OSS オフィス・スイート LibreOffice を運営する Document Foundation が緊急に発表したのは、LibreOfficeKit コンポーネントの深刻な脆弱性 CVE-2024-5261 に関するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した攻撃者は 、LibreOffice とリモート・サーバーの間で送信されるデータの搾取/操作が可能となり、機密情報の漏洩へといたる恐れがある。
LibreOfficeKit とは、C/C++ アプリケーションからの LibreOffice 機能へのアクセスを可能にするツールであり、サードパーティ・コンポーネントが、文書の変換/表示ための対話用ライブラリとして、LibreOffice を活用できるようにするものだ。そして、影響を受けるバージョンの LibreOffice では、LibreOfficeKit モードが使用される場合も、TLS 認証検証が無効になっていた。具体的には、curl のオプション “CURLOPT_SSL_VERIFYPEER” が “false” に設定されているため、LibreOfficeKit 経由で取得されたリモート・リソースに対し、セキュリティがバイパスされる状況になっていた。
この脆弱性は、LibreOfficeKit が Web サーバ上の画像などのリモート・リソースにアクセスする際に、TLS 証明書の信頼性が検証されないことを意味する。この見落としを悪用する攻撃者が、一連のリソースを傍受して操作することが可能になるため、データ漏洩などのセキュリティ・インシデントにつながる可能性が生じる。
この脆弱性は、ドイツ連邦情報セキュリティ局の委託を受けた OpenSource Security GmbH により発見され、The Document Foundation へと速やかに報告された。また、修正プログラムの開発は、LibreOffice プロジェクトに長年貢献している、 allotropia の Thorsten Behrens により行われている。
この脆弱性 CVE-2024-5261 (CVSSv4:10) は、きわめて危険なものであり、修正プログラムの適用は緊急性を要する。すでに Document Foundation は、この問題への対処で必要なパッチを取り込んだ、LibreOffice 24.2.4 をリリースしている。ユーザーに強く推奨されるのは、最新バージョンへの迅速なアップグレードである。
なお、修正されたバージョンでは、curl は “CURLOPT_SSL_VERIFYPEER” を “true” に設定した LibreOfficeKit モードで動作し、TLS 証明書が適切に検証され、標準的なセキュア・プラクティスに準拠するものとなっている。
LibreOffice としても想定していた用法で、新たに深刻な脆弱性が発見されました。ただし、通常とは少し違う使い方というところで、発見が遅くなってしまったのでしょう。この記事を読むかぎり、脆弱性 CVE-2024-5261 の悪用は簡単そうに感じられます。ご利用のチームは、アップデートを、お急ぎください。よろしければ、LibreOffice で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.