遠端 Debian 10 主機上安裝的多個套件受到 dla-3526 公告中提及的多個弱點影響。

  - Apache OpenOffice 4.1.14 之前版本可能會被設定為新增一個空白輸入項目到 Java 類別路徑。
    這可能引致從目前的目錄執行任意 Java 程式碼。(CVE-2022-38745)

  - The Document Foundation LibreOffice 的試算表元件中有一個不當驗證陣列索引弱點，攻擊者可利用此弱點特製試算表文件，從而載入時造成陣列索引反向溢位。在受影響的 LibreOffice 版本中，建立某些格式錯誤的試算表公式 (如 AGGREGATE) 時，可使用比預期少的參數，進而導致陣列索引反向溢位，在這種情況下，有可能執行任意程式碼。
    此問題會影響：Document Foundation LibreOffice 7.4 版的 7.4.6 之前版本、7.5 版的 7.5.1 之前版本。(CVE-2023-0950)

  - The Document Foundation LibreOffice 的編輯器元件中存在存取控制不當弱點，允許攻擊者特製文件，從而造成在沒有提示的情況下載入外部連結。在使用連結至外部檔案的浮動框架的受影響 LibreOffice 文件版本中，會在不提示使用者權限的情況下載入這些框架的內容。這與 LibreOffice 中其他連結內容的處理方式不一致。此問題會影響：Document Foundation LibreOffice 7.4 版的 7.4.7 之前版本、7.5 版的 7.5.3 之前版本。(CVE-2023-2255)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

偵測

Debian DLA-3526-1：libreoffice - LTS 安全性更新

critical Nessus Plugin ID 179739

版本 1.2

版本 1.1

版本 1.0

版本 1.2 Dec 15, 2023, 10:12 AM IAVM reference Plugin Feed: 202312151012
版本 1.1 Sep 27, 2023, 2:15 PM CVSSv3 score source (set to "CVE-2022-3874") CVSSv2 score source (changed from "CVE-2023-0950" to "CVE-2022-3874") CVSS metrics ("CVSSv2 score" changed from 7.2 to 8.3. "CVSSv2 vector" changed from "CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C" to "CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:C". "CVSSv3 score" changed from 7.8 to 9.1. "CVSSv3 vector" changed from "CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H" to "CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H") Plugin Feed: 202309271415
版本 1.0 Aug 14, 2023, 4:00 PM New Plugin Feed: 202308141600