ニュース

「Apache OpenOffice」のパスワード機能に複数の脆弱性 ~v4.1.13で修正済み

Apache財団、「Apache OpenOffice」v4.1.13で修正した脆弱性の内容を公表

 The Apache Software Foundation(ASF)は、「Apache OpenOffice 4.1.13」におけるセキュリティ関連の修正内容を公表した。

 今回修正された脆弱性は、以下の2件(括弧内は深刻度)。いずれも「OpenOffice 4.1.12」およびそれ以前のバージョンに影響する。

  • CVE-2022-37400:暗号化の初期化ベクトルが常に同じであるため、マスターパスワードを知らなくてもWeb接続のパスワードを復元できてしまう(Moderate)
  • CVE-2022-37401:マスターキーのエンコードが不十分で、エントロピーが128bitから43bitに弱まるため、ブルートフォース(総当たり)攻撃に対して脆弱になる

 異なるCVE番号が割り当てられているものの、内容は「LibreOffice」v7.2.7/7.3.3における修正と同じだ。

 Apache財団によると、これらの脆弱性が悪用されたという報告はないとのこと。しかし、この脆弱性が成立することを実証するデモ(PoC)は存在するため、できるだけ早い対処が望ましい。

 「Apache OpenOffice」は、オープンソースのオフィス統合環境。Windows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、現在本ソフトの公式サイトからダウンロード可能。Windows版はWindows XP/Server 2003以降に対応している。