apache openoffice出現兩個漏洞cve-2016-6803 cve-2016-6804,2014年 apache軟體基金會宣布, 開源辦公軟體apache openoffice下載下傳量突破了一億次。
openoffice 是開源領域最為知名的辦公套件,支援 mac、windows 以及 linux 平台,曾被視為微軟的有力挑戰者。openoffice 的前身叫做 staroffice,在 2000 年後被升陽公司收購,釋出成開放原碼項目的 openoffice.org(縮寫為 ooo);接着在 2010 年,升陽又被甲骨文公司收購。
之後甲骨文公司跟開源社交交惡,還把開發者開除,于是社交主力就分裂出名為 libreoffice(縮寫為 lo)的分支項目。之後甲骨文迫于形勢,就把 openoffice 貢獻給 asf,改名成 apache openoffice(縮寫為 aoo),然而社交也已分裂。
然而今年9月份,據負責人 dennis hamilton 的一封公開信,由于軟體存在諸多安全漏洞,缺乏研發力量繼續完善維護,openoffice 或即将「退休」。hamilton 在信中沒有明确表示放棄 openoffice,但表示了嚴重的憂慮,放棄維護的可能性相當高。目前的維護團隊大概隻有 6 名,都是志願者,有能力并且有意願的開源貢獻者太少了。
威脅等級:中級
apache openoffice 的 windows 安裝程式包含有缺陷的操作可以觸發的不需要的軟體安裝一個特洛伊木馬應用程式的執行。安裝程式缺陷被稱為"非引用 windows 搜尋路徑脆弱性"。在 apache openoffice windows 的安裝程式,電腦必須有以前受感染,使用管理者特權運作特洛伊木馬應用程式 (或使用者)。任何安裝程式與不加引号的搜尋路徑漏洞成為延遲的觸發該漏洞。利用此漏洞可能已經均是基于使用者的 pc。
apache openoffice 的 windows 安裝程式包含有缺陷的操作,允許執行任意代碼使用提升的權限。在其中運作安裝程式的位置可能有先前遭到毒害模拟取決于安裝程式的動态連結庫檔案。假冒是由于安裝程式中的搜尋路徑缺陷而運作的。假冒的經營會openoffice 的安裝程式,損害使用者的 pc 機的行政權限下。
2000 年,sun 公司收購 staroffice 公司時候開源了 openoffice,2010 年,oracle 收購 sun,libreoffice 誕生,屬于 openoffice 的一個分支,由 document foundation 維護,貢獻者包括一些大公司如 canonical, google 和 red hat。安全性比 openoffice 更優秀,插件功能也更為強大。
原文釋出時間:2017年3月24日
本文由:安全加釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/openoffice-vulnerability-cve-2016-6803-cve-2016-6804
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站
![搭建httpd服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)