「LibreOffice」のマスターパスワードに脆弱性 ～v7.2.7/7.3.3への更新を

The Document Foundationが公開したセキュリティアドバイザリ

　The Document Foundation（TDF）は7月25日（現地時間）、「LibreOffice 7.2.7」「LibreOffice 7.3.3」で2件の脆弱性を修正したことを発表した。

　1つ目は、暗号化の初期化ベクトルが常に同じであるという欠陥（CVE-2022-26306）。「LibreOffice」はユーザー設定データベースにWeb接続のためのパスワードを保存し、それをマスターパスワードで保護することができるが、その暗号化のセキュリティが低下する可能性がある。最悪の場合、マスターパスワードを知らなくてもWeb接続のパスワードを取得できてしまう。

　この問題はすでに解決されており、脆弱な保存設定データがある場合は適切に再暗号化されるようになっている。

　2つ目もマスターパスワードに関わる不備（CVE-2022-26307）で、エントロピーが128bitから43bitに弱められているためブルートフォース（総当たり攻撃）に弱くなる。「LibreOffice 7.2.7」「LibreOffice 7.3.3」ではエンコーディング処理が改善されており、この問題は解決されている。

　「LibreOffice」は、クロスプラットフォームで動作するオープンソースのオフィス統合環境。Windows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在「libreoffice.org」から無償でダウンロードできる。Windows版はWindows 7/8/10およびWindows Server 2012をサポートしており、窓の杜ライブラリからもダウンロード可能。