Kuvaus: Hyökkäys, joka kohdistuu XML:n ulkoiseen entiteettiin (XXE) on mahdollinen yllämainituissa OpenOffice.org-versioissa. Tässä haavoittuvuudessa käytetään hyväksi tapaa, jolla ulkoisia entiteettejä käsitellään tietyissä ODF-asiakirjojen XML-komponenteissa. Käsittelemällä ulkoisen entiteetin viittausta toiseen paikallisen tiedostojärjestelmän resurssiin hyökkääjän on mahdollista pistää toisten paikallisten tiedostojen sisältöä ODF-asiakirjaan käyttäjän tietämättä ja luvatta. Tietovuoto tulee sitten mahdolliseksi, kun asiakirjaa myöhemmin jaetaan toisille osapuolille.
OpenOffice.org 3.3.0 ja 3.4 beta -käyttäjät voivat paikata asentamansa ohjelmiston oheisilla korjauksilla. Lataa, pura ja seuraa pakettiin kuuluvan readme.pdf-tiedoston ohjeita (englanniksi) tai lue ne suomenoksesta.
Tämä haavoittuvuus on myös jo korjattu Apache OpenOffice 3.4 dev -kokeiluversioissa alkaen 1. maaliskuuta, 2012.
We have provided MD5 and SHA1 hashes of these patches, as well as a detached digital signature, for those who wish to verify the integrity of these files.
The MD5 and SHA1 hashes can be verified using Unix tools like sha1, sha1sum or md5sum.
The PGP signatures can be verified using PGP or GPG. First download the KEYS file, as well as the asc signature file for the particular patch from above. Make sure you get these files from the main distribution directory, rather than from a mirror. Then verify the signatures as follows:
% pgpk -a KEYS
or
% pgpv CVE-2012-0037-{win|mac}.zip.asc
% pgp -ka KEYS
or
% pgp CVE-2012-0037-{win|mac}.zip.asc
% gpg --import KEYS
% gpg --verify CVE-2012-0037-{win|mac}.zip.asc
Information on obtaining the source code for this patch, and for porting it or adapting it to OpenOffice.org derivatives can be found here.
The Apache OpenOffice -projekti antaa tunnustuksen ja kiittää tämän pulman löytäjää, Timothy D. Morgania Virtual Security Researchistä, LLC:stä.