ニュース

「LibreOffice」のマスターパスワードに脆弱性 ~v7.2.7/7.3.3への更新を

The Document Foundationが公開したセキュリティアドバイザリ

 The Document Foundation(TDF)は7月25日(現地時間)、「LibreOffice 7.2.7」「LibreOffice 7.3.3」で2件の脆弱性を修正したことを発表した。

 1つ目は、暗号化の初期化ベクトルが常に同じであるという欠陥(CVE-2022-26306)。「LibreOffice」はユーザー設定データベースにWeb接続のためのパスワードを保存し、それをマスターパスワードで保護することができるが、その暗号化のセキュリティが低下する可能性がある。最悪の場合、マスターパスワードを知らなくてもWeb接続のパスワードを取得できてしまう。

 この問題はすでに解決されており、脆弱な保存設定データがある場合は適切に再暗号化されるようになっている。

 2つ目もマスターパスワードに関わる不備(CVE-2022-26307)で、エントロピーが128bitから43bitに弱められているためブルートフォース(総当たり攻撃)に弱くなる。「LibreOffice 7.2.7」「LibreOffice 7.3.3」ではエンコーディング処理が改善されており、この問題は解決されている。

 「LibreOffice」は、クロスプラットフォームで動作するオープンソースのオフィス統合環境。Windows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在「libreoffice.org」から無償でダウンロードできる。Windows版はWindows 7/8/10およびWindows Server 2012をサポートしており、窓の杜ライブラリからもダウンロード可能。