| <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> |
| <html lang="en"> |
| <head> |
| |
| <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type" /> |
| <title>CVE-2012-0037</title> |
| |
| |
| </head> |
| |
| |
| <body style="direction: ltr;"> |
| |
| <h1><font size="4"><b><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=2012-0037">CVE-2012-0037</a></b></font></h1> |
| |
| <h3>Vulnerabilità di sottrazione di dati in OpenOffice.org</h3> |
| |
| <h4>Pericolosità: Significativa</h4> |
| |
| <h4>Fornitore: The Apache Software Foundation</h4> |
| |
| <h4>Versioni affette dal problema:</h4> |
| <ul> |
| <li>OpenOffice.org 3.3 e 3.4 Beta, su tutte le piattaforme.</li> |
| <li>Può interessare anche versioni precedenti.</li> |
| </ul> |
| |
| <h4>Descrizione:</h4> |
| <p> |
| Descrizione: È possibile un attacco di tipo entità esterna XML (XXE) alle |
| sopracitate versioni di OpenOffice.org. Questa vulnerabilità sfrutta |
| il modo in cui vengono processate delle entità esterne in alcuni componenti |
| XML nei documenti ODF. Utilizzando una entità esterna che fa riferimento |
| ad altre risorse del file system, un attaccante sarebbe in grado di inserire i |
| contenuti di altri files accessibili localmente in un documento ODF, senza che |
| l'utilizzatore ne sia a conoscenza o abbia autorizzato questa operazione. |
| In questo modo quando quel documento viene inoltrato ad altri, i dati potrebbero |
| essere rubati.</p> |
| |
| <h4>Soluzione</h4> |
| <p>Gli utilizzatori di OpenOffice.org 3.3.0 e 3.4 beta possono aggiornare la loro |
| installazione con le seguenti patch. Effettuare il download, estrarre i file e |
| seguire le istruzioni indicate nel file readme.pdf incluso (in inglese) o nella |
| sua <a href="CVE-2012-0037.pdf">traduzione italiana</a>.</p> |
| |
| <ul> |
| <li><a href="http://archive.apache.org/dist/incubator/ooo/3.3/patches/cve-2012-0037/CVE-2012-0037-win.zip">Per piattaforma Windows </a> |
| (<a href="http://archive.apache.org/dist/incubator/ooo/3.3/patches/cve-2012-0037/CVE-2012-0037-win.zip.md5">MD5</a>) |
| (<a href="http://archive.apache.org/dist/incubator/ooo/3.3/patches/cve-2012-0037/CVE-2012-0037-win.zip.sha1">SHA1</a>)</li> |
| |
| <li><a href="http://archive.apache.org/dist/incubator/ooo/3.3/patches/cve-2012-0037/CVE-2012-0037-mac.zip">Per piattaforma MacOS</a> |
| (<a href="http://archive.apache.org/dist/incubator/ooo/3.3/patches/cve-2012-0037/CVE-2012-0037-mac.zip.md5">MD5</a>) |
| (<a href="http://archive.apache.org/dist/incubator/ooo/3.3/patches/cve-2012-0037/CVE-2012-0037-mac.zip.sha1">SHA1</a>)</li> |
| <li>Per Linux e altre piattaforme, consultare il proprio distributore o venditore di sistema operativo per istruzioni circa la patch.</li> |
| </ul> |
| |
| <p>Problema risolto anche nelle versioni di sviluppo di Apache OpenOffice 3.4 dal 01.03.2012.</p> |
| |
| |
| <h4>Verificare l'integrità dei files scaricati</h4> |
| |
| <p> |
| Forniamo gli hash MD5 e SHA1 di queste patch, unitamente alla firma digitale, per coloro che desiderano verificare l'integrità di questi files.</p> |
| <p> |
| Gli hash MD5 e SHA1 possono essere verificati utilizzando gli strumenti di Unix (sha1, sha1sum o md5sum).</p> |
| <p> |
| Le firme PGP possono venir verificate utilizzando PGP or GPG. Come primo passo scaricate i files <a href="http://www.apache.org/dist/openoffice/KEYS">KEYS</a>, unitamente alla file di firma asc per la patch qui sopra. Sinceratevi di scaricare dalla directory di distribuzione principale e non da un mirror. Quindi, eseguite la verifica come segue:</p><p> |
| <code> |
| % pgpk -a KEYS <br> |
| % pgpv CVE-2012-0037-{win|mac}.zip.asc <br> |
| </code> |
| <em>o</em> |
| <br> |
| <code> |
| % pgp -ka KEYS <br> |
| % pgp CVE-2012-0037-{win|mac}.zip.asc <br> |
| </code> |
| <em>o</em> |
| <br> |
| <code> |
| % gpg --import KEYS <br> |
| % gpg --verify CVE-2012-0037-{win|mac}.zip.asc <br> |
| </code> |
| |
| |
| |
| |
| </p> |
| <h4>Sorgente e compilazione</h4> |
| <p>Le Informazioni per ottenere il codice sorgente di questa patch e, quindi per trasferirlo o adattarlo ai derivati di OpenOffice.org sono <a href="http://www.openoffice.org/security/cves/CVE-2012-0037-src.txt">qui</a>.</p> |
| |
| <h4>Riconoscimenti:</h4> |
| <p> |
| Apache OpenOffice project ringrazia lo scopritore di questa problematica: Timothy D. Morgan di Virtual Security |
| Research, LLC. </p> |
| |
| <hr> |
| |
| <p>Versione ufficiale inglese: <a href="http://security.openoffice.org/">Sicurezza</a> -><a href="http://security.openoffice.org/bulletin.html">Notizie</a> -> |
| <a href="http://security.openoffice.org/security/cves/CVE-2012-0037.html">CVE-2012-0037</a></p> |
| </ul> |
| </div> |
| |
| </body> |
| </html> |