blob: 0b9ecaa80ba9418dabea65c3b857863bc72f7710 [file]
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html lang="en">
<head>
<meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type" />
<title>CVE-2012-0037</title>
</head>
<body style="direction: ltr;">
<h1><font size="4"><b><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=2012-0037">CVE-2012-0037</a></b></font></h1>
<h3>Vulnerabilit&agrave; di sottrazione di dati in OpenOffice.org</h3>
<h4>Pericolosità: Significativa</h4>
<h4>Fornitore: The Apache Software Foundation</h4>
<h4>Versioni affette dal problema:</h4>
<ul>
<li>OpenOffice.org 3.3 e 3.4 Beta, su tutte le piattaforme.</li>
<li>Può interessare anche versioni precedenti.</li>
</ul>
<h4>Descrizione:</h4>
<p>
Descrizione: È possibile un attacco di tipo entit&agrave; esterna XML (XXE) alle
sopracitate versioni di OpenOffice.org. Questa vulnerabilit&agrave; sfrutta
il modo in cui vengono processate delle entit&agrave; esterne in alcuni componenti
XML nei documenti ODF. Utilizzando una entit&agrave; esterna che fa riferimento
ad altre risorse del file system, un attaccante sarebbe in grado di inserire i
contenuti di altri files accessibili localmente in un documento ODF, senza che
l'utilizzatore ne sia a conoscenza o abbia autorizzato questa operazione.
In questo modo quando quel documento viene inoltrato ad altri, i dati potrebbero
essere rubati.</p>
<h4>Soluzione</h4>
<p>Gli utilizzatori di OpenOffice.org 3.3.0 e 3.4 beta possono aggiornare la loro
installazione con le seguenti patch. Effettuare il download, estrarre i file e
seguire le istruzioni indicate nel file readme.pdf incluso (in inglese) o nella
sua <a href="CVE-2012-0037.pdf">traduzione italiana</a>.</p>
<ul>
<li><a href="http://archive.apache.org/dist/incubator/ooo/3.3/patches/cve-2012-0037/CVE-2012-0037-win.zip">Per piattaforma Windows </a>
(<a href="http://archive.apache.org/dist/incubator/ooo/3.3/patches/cve-2012-0037/CVE-2012-0037-win.zip.md5">MD5</a>)
(<a href="http://archive.apache.org/dist/incubator/ooo/3.3/patches/cve-2012-0037/CVE-2012-0037-win.zip.sha1">SHA1</a>)</li>
<li><a href="http://archive.apache.org/dist/incubator/ooo/3.3/patches/cve-2012-0037/CVE-2012-0037-mac.zip">Per piattaforma MacOS</a>
(<a href="http://archive.apache.org/dist/incubator/ooo/3.3/patches/cve-2012-0037/CVE-2012-0037-mac.zip.md5">MD5</a>)
(<a href="http://archive.apache.org/dist/incubator/ooo/3.3/patches/cve-2012-0037/CVE-2012-0037-mac.zip.sha1">SHA1</a>)</li>
<li>Per Linux e altre piattaforme, consultare il proprio distributore o venditore di sistema operativo per istruzioni circa la patch.</li>
</ul>
<p>Problema risolto anche nelle versioni di sviluppo di Apache OpenOffice 3.4 dal 01.03.2012.</p>
<h4>Verificare l'integrità dei files scaricati</h4>
<p>
Forniamo gli hash MD5 e SHA1 di queste patch, unitamente alla firma digitale, per coloro che desiderano verificare l'integrità di questi files.</p>
<p>
Gli hash MD5 e SHA1 possono essere verificati utilizzando gli strumenti di Unix (sha1, sha1sum o md5sum).</p>
<p>
Le firme PGP possono venir verificate utilizzando PGP or GPG. Come primo passo scaricate i files <a href="http://www.apache.org/dist/openoffice/KEYS">KEYS</a>, unitamente alla file di firma asc per la patch qui sopra. Sinceratevi di scaricare dalla directory di distribuzione principale e non da un mirror. Quindi, eseguite la verifica come segue:</p><p>
<code>
% pgpk -a KEYS <br>
% pgpv CVE-2012-0037-{win|mac}.zip.asc <br>
</code>
<em>o</em>
<br>
<code>
% pgp -ka KEYS <br>
% pgp CVE-2012-0037-{win|mac}.zip.asc <br>
</code>
<em>o</em>
<br>
<code>
% gpg --import KEYS <br>
% gpg --verify CVE-2012-0037-{win|mac}.zip.asc <br>
</code>
</p>
<h4>Sorgente e compilazione</h4>
<p>Le Informazioni per ottenere il codice sorgente di questa patch e, quindi per trasferirlo o adattarlo ai derivati di OpenOffice.org sono <a href="http://www.openoffice.org/security/cves/CVE-2012-0037-src.txt">qui</a>.</p>
<h4>Riconoscimenti:</h4>
<p>
Apache OpenOffice project ringrazia lo scopritore di questa problematica: Timothy D. Morgan di Virtual Security
Research, LLC. </p>
<hr>
<p>Versione ufficiale inglese: <a href="http://security.openoffice.org/">Sicurezza</a> -&gt;<a href="http://security.openoffice.org/bulletin.html">Notizie</a> -&gt;
<a href="http://security.openoffice.org/security/cves/CVE-2012-0037.html">CVE-2012-0037</a></p>
</ul>
</div>
</body>
</html>