OpenOffice快要挂了的东西 居然还有人研究它的漏洞 CVE-2016-6804提权漏洞

简介:

Apache OpenOffice出现两个漏洞CVE-2016-6803 CVE-2016-6804,2014年 Apache软件基金会宣布, 开源办公软件Apache OpenOffice下载量突破了一亿次。

OpenOffice是什么

OpenOffice 是开源领域最为知名的办公套件,支持 mac、Windows 以及 Linux 平台,曾被视为微软的有力挑战者。OpenOffice 的前身叫做 StarOffice,在 2000 年后被升阳公司收购,发布成开放原码项目的 OpenOffice.org(缩写为 OOo);接着在 2010 年,升阳又被甲骨文公司收购。

之后甲骨文公司跟开源社交交恶,还把开发者开除,于是社交主力就分裂出名为 LibreOffice(缩写为 LO)的分支项目。之后甲骨文迫于形势,就把 OpenOffice 贡献给 ASF,改名成 Apache OpenOffice(缩写为 AOO),然而社交也已分裂。

然而今年9月份,据负责人 Dennis Hamilton 的一封公开信,由于软件存在诸多安全漏洞,缺乏研发力量继续完善维护,OpenOffice 或即将「退休」。Hamilton 在信中没有明确表示放弃 OpenOffice,但表示了严重的忧虑,放弃维护的可能性相当高。目前的维护团队大概只有 6 名,都是志愿者,有能力并且有意愿的开源贡献者太少了。

CVE-2016-6803: Apache OpenOffice unquoted search path vulnerability

威胁等级:中级

Apache OpenOffice 的 Windows 安装程序包含有缺陷的操作可以触发的不需要的软件安装一个特洛伊木马应用程序的执行。安装程序缺陷被称为"非引用 Windows 搜索路径脆弱性"。在 Apache OpenOffice Windows 的安装程序,电脑必须有以前受感染,使用管理员特权运行特洛伊木马应用程序 (或用户)。任何安装程序与不加引号的搜索路径漏洞成为延迟的触发该漏洞。利用此漏洞可能已经均是基于用户的 PC。

CVE-2016-6804 Apache OpenOfice Advisory

威胁等级:中级

Apache OpenOffice 的 Windows 安装程序包含有缺陷的操作,允许执行任意代码使用提升的权限。在其中运行安装程序的位置可能有先前遭到毒害模拟取决于安装程序的动态链接库文件。假冒是由于安装程序中的搜索路径缺陷而运作的。假冒的经营会OpenOffice 的安装程序,损害用户的 pc 机的行政权限下。

OpenOffice还能走多远?

2000 年,Sun 公司收购 StarOffice 公司时候开源了 OpenOffice,2010 年,Oracle 收购 Sun,LibreOffice 诞生,属于 OpenOffice 的一个分支,由 Document Foundation 维护,贡献者包括一些大公司如 Canonical, Google 和 Red Hat。安全性比 OpenOffice 更优秀,插件功能也更为强大。



原文发布时间:2017年3月24日

本文由:安全加发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/openoffice-vulnerability-cve-2016-6803-cve-2016-6804

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
存储 监控 安全
Zabbix登录绕过漏洞复现(CVE-2022-23131)
最近在复现zabbix的漏洞(CVE-2022-23131),偶然间拿到了国外某公司zabbix服务器。Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix Frontend 存在安全漏洞,该漏洞源于在启用 SAML SSO 身份验证(非默认)的情况下,恶意行为者可以修改会话数据,因为存储在会话中的用户登录未经过验证。 未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。
1839 0
Zabbix登录绕过漏洞复现(CVE-2022-23131)
|
2月前
|
安全 网络协议 Linux
Kali渗透测试:使用Armitage针对漏洞进行攻击
Kali渗透测试:使用Armitage针对漏洞进行攻击
86 0
|
安全 Ubuntu Linux
CVE-2021-4034 pkexec提权漏洞
Linux Polkit 的 pkexec程序中发现了一个本地权限提升漏洞。pkexec应用程序是一个 setuid 工具,旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。
335 1
|
安全 测试技术
漏洞复现--CVE-2020-0796getshell
漏洞复现--CVE-2020-0796getshell
漏洞复现--CVE-2020-0796getshell
|
安全 Linux
Linux 系统安全 - 近期发现的 polkit pkexec 本地提权漏洞(CVE-2021-4034)修复方案
Linux 系统安全 - 近期发现的 polkit pkexec 本地提权漏洞(CVE-2021-4034)修复方案
1330 2
|
XML 安全 Oracle
Weblogic XMLDecoder 远程代码执行漏洞 CVE-2017-10271 漏洞复现
Weblogic XMLDecoder 远程代码执行漏洞 CVE-2017-10271 漏洞复现
160 0
|
安全 Shell 数据安全/隐私保护
CVE-2019-15107 Webmin RCE漏洞复现
环境搭建: 进入镜像目录
394 0
|
安全 Unix Linux
CVE-2021-4034 pkexec 本地提权复现
CVE-2021-4034 pkexec 本地提权复现
666 0
|
供应链 安全 IDE
7-zip 本地提权漏洞(CVE-2022-29072)
7-zip 本地提权漏洞(CVE-2022-29072)
|
安全 网络协议 Linux
基于Metasploit完成Samba服务漏洞复现
基于Metasploit完成Samba服务漏洞复现
基于Metasploit完成Samba服务漏洞复现