近日，国家信息安全漏洞库（CNNVD）收到绿盟报送的3个关于Apache OpenOffice远程代码执行漏洞（CNNVD-201706-913、CNNVD-201708-311、CNNVD-201708-310）情况的通报。攻击者可利用上述漏洞执行恶意代码。目前Apache官方已发布新版本修复上述漏洞，建议OpenOffice 用户及时检查是否受漏洞影响，若受影响，及时升级版本修复漏洞。

       漏洞简介

       Apache OpenOffice是美国阿帕奇（Apache）软件基金会的一款开源的办公软件套件。该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。

       Apache OpenOffice 4.1.3版本的文字处理器应用程序的WW8Fonts::WW8Fonts类构造函数存在远程代码执行漏洞（CNNVD-201706-913、CVE-2017-9806），攻击者可利用该漏洞执行任意代码。

Apache OpenOffice 4.1.3版本的幻灯片制作程序中的PPTStyleSheet：PPTStyleSheet功能存在远程代码执行漏洞（CNNVD-201708-311、CVE-2017-12607），攻击者可利用该漏洞执行任意代码。

       Apache OpenOffice 4.1.3版本的文字处理器应用程序的WW8RStyle::ImportOldFormatStyles功能存在远程代码执行漏洞（CNNVD-201708-310、CVE-2017-12608），攻击者可利用该漏洞执行任意代码。

       危害影响

       攻击者可利用上述漏洞构造恶意的文档，诱使受漏洞影响的用户点击，进而在用户的系统上执行任意代码。Apache OpenOffice是一款开源软件，使用范围十分广泛，建议受影响用户及时修复漏洞。

       对策建议

       目前，Apache官方已修复上述漏洞，并发布了Apache OpenOffice 4.1.4版本。建议受影响用户及时升级版本以修复漏洞，链接如下：    

       http://www.openoffice.org/download/index.HTML

       本通报由CNNVD技术支撑单位——北京神州绿盟科技有限公司、360集团360CERT提供支持。

       CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

       联系方式: [email protected]