В офисном пакете LibreOffice выявлена (https://insinuator.net/2019/07/libreoffice-a-python-interpre.../) уязвимость (CVE-2019-9848 (https://www.libreoffice.org/about-us/security/advisories/cve...)), которую можно использовать для выполнения произвольного кода при открытии документов, подготовленных злоумышленником.
Уязвимость вызвана тем, что компонент LibreLogo, предназначенный для обучения программированию и вставки векторных рисунков, транслирует свои операции в код на языке Python. Имея возможность выполнить инструкции LibreLogo злоумышленник может добиться выполнения любого кода на языке Python в контексте текущего сеанса пользователя, воспользовавшись предоставляемой в LibreLogo командой "run". Из Python при помощи функции system(), в свою очередь, можно вызвать произвольные системные команды.
LibreLogo является опциональным компонентом, но в LibreOffice по умолчанию предлагаются макросы, дающие возможность вызвать LibreLogo и не требующие при своём выполнении подтверждения выполнения операции и не отображающие предупреждение, даже при включении режима максимальной защиты макросов (выбор уровня "Very Hight").
Для атаки можно привязать такой макрос к обработчику события, срабатывающему, например, при наведении курсора мыши к определённой области или при активации фокуса ввода на документе (событие onFocus). В итоге, при открытии подготовленного атакующим документа можно добиться скрытого выполнения Python-кода, незаметно от пользователя. Например, в продемонстрированном примере эксплоита при открытии документа без предупреждения запускается системный калькулятор.Уязвимость без лишней огласки была устранена в обновлении LibreOffice 6.2.5, выпущенном 1 июля, но как оказалось проблема была устранена не полностью (блокирован лишь вызов LibreLogo из макросов) и остаются неисправленными (https://github.com/rapid7/metasploit-framework/pull/12147) некоторые другие векторы для проведения атаки. Кроме того, проблема не решена в выпуске 6.1.6, рекомендованном для корпоративных пользователей. Полностью устранить уязвимость планируется в выпуске LibreOffice 6.3, ожидаемом на следующей неделе. До выпуска полноценного обновления пользователям рекомендуется явно отключить компонент LibreLogo, который по умолчанию доступен во многих поставках.
URL: https://www.theregister.co.uk/2019/08/02/document_foundation.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=51214
Вопрос к слову, libreoffice 6.3 из buster backports только у меня валится?
Если поставить ванильную Либру с сайта, падает?
Я ж написал про buster backports. Ванильная норм.
Ну, тогда, вопрос к мейнтейнерам дебика
Если поставить ванильную Либру с сайта, падает?
Debian Buster 4.19.0-5-amd64 #1 SMP Debian 4.19.37-5+deb10u1 (2019-07-19) x86_64 GNU/Linux
buster-backports
LibreOffice 6.3.0.2 30(Build:2) из бэкпортов (1:6.3.0~rc2-1~bpo10+1 amd64)
УМВР
А вот это интереснее. Протестирую на другой машинке.
Может просто не открывать левые вредоносные документы?
Вредоносных документов не бывает, это троян.
Разве это не та же самая уязвимость, что и выложенная раннее тоже с librelogo?
P.S. Заранее извиняюсь, не разбираюсь в теме.
Всё, понял. Невнимательно прочитал новость
В Либре всегда уязвимости закрывают , не афишируя это
Лучше бы наоборот - чтобы сперва CVE, PoC, эксплоит, а через месяц - закрытие. Интересы понятны.
Грубо говоря, это и не баг, а доказательство необходимости запускать любое приложение в песочнице.
Главная проблема здесь в том, что нечего превращать текстовый процессор в среду разработки, иначе вот такие "уязвимости" будут не просто ожидаемы, а закономерны. Добавили возможность выполнения кода, и оказалось, что может быть выполнен вредоносный код. Серьезно? А какой результат они ожидали? Это уже даже не peшeто, это дуршлаг.
Можно только подобные приложения типа офиса ставить из Snap/Flatpak чтобы упростить себе жизнь
Может быть просто в песочнице сразу по рукам бить в молодом возрасте (конечно же нет!). Но как узнаешь что из него в дальнейшем вырастет, может президент или премьер (и тогда конфуз ;) А так, да, песочница все решает ((докер в KVM-е под XEN-ом ;) за двумя заборами с колючей проволокой :(.
И сюда докатилось смешивание документов с приложениями.
Я джва года ждал такой уязвимости!!
Надо было не ждать надо было эскплуатировать.
Можно грабить корованны.
Безопасно говорили они...
Это не уязвимость, а штатная возможность приложения сделать нечто нехорошее.
Наличие приложения - это троян.
> сделать нечто нехорошее.Это что за однобокость такая?
сделать нечто?
LibreOffice негодяи. Переходим на китайские офисы!
Китайский офис фичу им продвинул в Либру.
А разве не Microsoft Office с их VBA?
На Каллигру
Молодеса, боеця Ляо Пинь. Великая китайский разведка нузьны данные лаоваев.
OpenSnitch is a GNU/Linux port of the Little Snitch application firewall https://github.com/evilsocket/opensnitch
Запуск через питоний os.system(), как это мило )Через этот os.system можно запустить wget, скачивающий линукс-троян с командного сервера куда-нибудь в хомяк или /tmp.
Цель как раз в том, чтобы покренить данные пользователя, саму ОС трогать и не обязательно
У RHEL весь дистр пропитан пздоном.
> У RHEL весь дистр пропитан пздоном.У меня Gentoo, тут тоже без питона не обойтись.
Было бы хорошо если в новостях сразу будут писать что из этого не нужно. А то так не понятно что именно не нужно. Но при этом новость какбэ намекает что что-то не нужно.
Есть же FreeOffice (ранее SoftMaker Office) - бесплатный, быстрый, есть порт под Linux, хорошо открывает файлы MS Office.Зачем нужна Либра?
У него даже не порт, а нативные версии в deb и rpm.
Свою проприетарщину засунь себе ... в другой ресурс а но опеннете такого не надо.
Очередной бойцовский хомячок Столмана. Какая из букв в слове "free" тебе непонятня? Кто тебя заставляет его покупать?
То в которой напсино что FreeOffice это проприетарный зонд и рут кит. Ты никогда не узнаешь чем он занимается. А когда производитель решит его закрыть или изменить ты ничего с этим не сможешь сделать.
FreeOffice хорош, но формулы -- никак. И какую-то автоматизированную обработку текста (что здорово сберегает силы и время) -- тоже никак.
Приветствую. Спрошу совета у вменяемого и умного человека. :)Есть у меня текст. После распознавания он представляет собой мешанку кириллицы и латиницы в наборе символов, начертание которых совпадает или очень похоже (a-а, e-е, y-у, p-р и пр.). В тексте есть компьютерные термины (главным образом исходники программ), они должны быть на английском. Остальное повествование — на русском.
Писать для решения этой оказии отдельную программу, боюсь, я не осилю, и нет ни времени, ни желания, ни сил, а для обычного чтения мозг и так всё нормально парсит. Но для превращения текста в какую-то «книгу» (т. е. исходник для LaTeXa, HTML и тому подобное) желательно его исправить.
Возможно ли средствами текстового процессора как-то исправить текст, чтобы все латинские буквы, за исключением программного кода и англоязычных терминов, заменились кириллическими схожего с ними рисунка?
> Есть у меня текст. После распознавания он представляет собой мешанку кириллицы и
> латиницы в наборе символов, начертание которых совпадает или очень похоже (a-а,
> e-е, y-у, p-р и пр.)....
> Возможно ли средствами текстового процессора как-то исправить текст, чтобы все латинские
> буквы, за исключением программного кода и англоязычных терминов, заменились кириллическими
> схожего с ними рисунка?(Спасибо :)
Собственно процессора, т.е. АОО/ЛО -- никак. Нужны дополнения. Если бы не оговорка насчётза исключением программного кода и англоязычных терминов, то это было бы легко написать, или же дописать вот это: https://extensions.libreoffice.org/extensions/oootranslit
А с такой оговоркой -- мне и самому что-то в этом духе не помешало бы. :)
Может, сделает кто. :)))
PS Комп. лингвист, наверное, сразу знал бы, что тут делать (и в иск. разуме вроде бы есть похожие задачи). Для наживки -- кондовый, из пластилина и палочек алгоритм проверял бы "градиент" английскости" (язык 1) по длине непрерывной последовательности слов, в которых "преимущественно" знаки языка 1. Отдельные слова "преимущественно" со знаками языка 2 не переводят обработку на правила "языка 2", это делает лишь их последовательность (значит, и возврат к просмотренному нужен). Как-то так. :))
Пока я вижу себе алгоритм решения этой задачи следующим образом.Программа последовательно проходит все слова текста (далее — книги) и по очереди сравнивает каждое слово со всеми словами из отдельного заранее приготовленного словаря, в который входят все англоязычные компьютерные термины данной книги. Если совпадение, то программа пропускает (игнорирует) слово. Если совпадения нет, то программа заменяет, с учётом регистра, все латинские символы в слове на кириллические.
«Словарь терминов» я уже сделал, это несложно, а дальше оставил эту задачу болтаться на периферии мыслительных процессов, пусть варится, потому что не могу решить, как это правильно реализовать. Есть вялое желание сделать решение на Перле. Получится одноразовое, пригодное лишь для одной книги. А вдруг уже что-то такое есть?
ЗЫВ Перле, как мне думается, можно обойтись тремя массивами и одним хэшем (с буквами):
- @book — весь исходный текст книги как есть;
- @dict — словарь для сравнений;
- @new_book — новая, исправленная книга.
Вытягиваем слово из первого массива, пропускаем через функцию, сравнивающую со словарём, изменяем при необходимости, дописываем в новый массив. И надо учитывать пробельные символы — их ведь в новый массив тоже надо вписать.
При попытке сделать всё сразу одним наскоком у меня возникли проблемы с регулярками, я это забросил и занялся другими делами. Но из головы не выбрасывал. :)
Напиши макрос для чего угодно. Которые при выделении текста все символы меняет на русские или на английские. И второй макрос проверочный которые будет например под английскими буквами делать цветным, а под русскими оставлять белым во всем тексте.
> Напиши макрос для чего угодно. Которые при выделении текста все символы меняет
> на русские или на английские. И второй макрос проверочный которые будет
> например под английскими буквами делать цветным, а под русскими оставлять белым
> во всем тексте.К этому всё идёт. Благо текст небольшой (страниц на 20 формата А4).
Но это всё же не решение задачи.
Так алгоритм простой делишь текст на абзацы считаешь каких символов в нем больше если русских всех переводишь в русский если английских в английский. А потом проходишь макросами выше для чистки.
а оригинал того текста - не сохранился? Если сохранился - делаем раз: вышвыриваем шва6однобешплатную поделку туда, где ей место - в помойное ведерко.
Берем нормальный коммерческий софт для распознавания. Убеждаемся, что он НЕ производит "смеси похожих русских и латинских букв" - потому что это, блжад, АЗЫ. О том что слова редко состоят из такой мешанины, знал страшный и yблюдочный софт 88го года!Потому что это, помимо прочего, гарантирует вам неимоверное количество мусора и ошибок распознавания.
В общем, ваш текст проще выбросить, и обработать картинки заново, чем чинить.
P.S. я бы таки написал несложную программку на сях, и еще и подключил к ней словарик.
Это в сто раз быстрее чем искать то, не знаю что.
> а оригинал того текста - не сохранился? Если сохранился - делаем раз:
> вышвыриваем шва6однобешплатную поделку туда, где ей место - в помойное ведерко.Не, оригинала нету. И картинок тоже нету. Только текст, хоть спасибо, что без какой-нибудь разметки. Впрочем, я не искал по интернетам — может и впрямь найду (шутка). Книжка совсем не на модномолодёжную тему и уже довольно престарелая, аж 1993 года рождения (старше большинства здешних анонимов, забавно).
> Берем нормальный коммерческий софт для распознавания. Убеждаемся, что он НЕ производит
> "смеси похожих русских и латинских букв" - потому что это, блжад,
> АЗЫ. О том что слова редко состоят из такой мешанины, знал
> страшный и yблюдочный софт 88го года!Нету сканов. Но попробую поискать, хотя не верю в успех этого предприятия.
> Потому что это, помимо прочего, гарантирует вам неимоверное количество мусора и ошибок
> распознавания.Отсканировано чистенько, но буквы почти все попутаны.
> В общем, ваш текст проще выбросить, и обработать картинки заново, чем чинить.Читать можно, собственный парсер в голове всё нормально разбирает.
> P.S. я бы таки написал несложную программку на сях, и еще и
> подключил к ней словарик.
> Это в сто раз быстрее чем искать то, не знаю что.Когда за это не платят, то энтузиазма заниматься нет прямо вообще никакого. Ну, может, когда-нибудь на перле скрипт напишу. Или случится чудо и кто-то подскажет существующее готовое решение, умеющее исправлять кириллические тексты после распознавания рукожопыми мастерами.
Если визуально текст выглядит правильным, вывести на печать как картинку и распознать "правильным" софтом?
на виртуальный принтер в формат изображения
> на виртуальный принтер в формат изображенияИнтересно. Попробую.
А чем хорошо распознавать?
>> на виртуальный принтер в формат изображения
> Интересно. Попробую.
> А чем хорошо распознавать?"Берем нормальный коммерческий софт для распознавания. Убеждаемся, что он НЕ производит "смеси похожих русских и латинских букв" - потому что это, блжад, АЗЫ"
кстати, да, не самая плохая идея
> Когда за это не платят, то энтузиазма заниматься нет прямо вообще никакого.используйте технику loadmap.net?
(правда, кажется, оно не очень окупает даже надежный хостинг, но вам и не терабайты)> Или случится чудо и кто-то подскажет существующее готовое решение, умеющее исправлять
> кириллические тексты после распознавания рукожопыми мастерами.tr ;-) У вас-то проблема в том, что текс НЕ кириллический, и нужен искусственный интеллект для различения тех мест, которые через tr пропускать не надо.
> tr ;-) У вас-то проблема в том, что текс НЕ кириллический, и
> нужен искусственный интеллект для различения тех мест, которые через tr пропускать
> не надо.Семь бед — один reset! :)
> Есть у меня текст.Вы что, рукописями вывозите тексты программ с РУССКИМ комментариями, из стран с любителями вставлять другим санкции в колеса?!?!?
Нет, просто любопытно.
>> Есть у меня текст.
> Вы что, рукописями вывозите тексты программ с РУССКИМ комментариями, из стран с
> любителями вставлять другим санкции в колеса?!?!?
> Нет, просто любопытно.Попалась книжка, хочется её… уже не хочется, теперь это дело принципа: придумать или найти готовое решение исправления неправильного распознавания.
Есть же OnlyOffice - еще лучше)
Мне в OnlyOffice не понравилось, что это приложение кладет большой и толстый на установленный Scale factor в системе - я счастливый обладатель 13,3 дюймового ноута с FullHD матрицей и вынужден выкручивать скейлинг на 150%.Причем проблема есть под Windows. Под Linux (Gnome) - ее нет.
Обратитесь к поставщику? :)
> Обратитесь к поставщику? :)Есть тред где в недрах официального форума онлиофиса. Разрабы говорят: "Это не мы, это все электрон".
Вози ныне там.
ну если это "электрон", то вы сами ответили на свой первоначальный вопрос "зачем" - "ненужно"
> ну если это "электрон", то вы сами ответили на свой первоначальный вопрос
> "зачем" - "ненужно"Что ненужно, кому ненужно? Мне электрон нужен, так как на нем работают как минимум скайп и вскод.
В FreeOffice нет электрона.
2019 год
SkypeНадеюсь, это г**но нужно вам только по работе.
> 2019 год
> Skype
> Надеюсь, это г**но нужно вам только по работе.Г**но? Один из лучших мессенджеров сейчас. Я серьезно, не троллю.
Не обращай на них внимания, зато у тебя на одну хромосому больше.
> Не обращай на них внимания, зато у тебя на одну хромосому больше.засланец MVP?
или может напомнить как скайп HEAD запросами ходил по урлам в чатах?
притом не с айпи клиента... лучший мессенжер млять...
а как они письма рассылали, если у тебя на балансе бабки есть, а ты не пользовался полгода, типа деньги сгорят..
а как насчет упоротого UI, который сделали вроде с восьмой версии (точно не помню уже)?
а то что они P2P заменили на свои сервера и подключили это все дело в призм, тоже надо напоминать?И да VSCode тоже не нужно, есть Rider, есть MonoDevelop. Второй хуже по функционалу, но лучше по совместимости с полноценной студией. А говноподелки на говноэлектроне надо индусам назад впарить.
>> Не обращай на них внимания, зато у тебя на одну хромосому больше.
> засланец MVP?Нет, CCNA
> или может напомнить как скайп HEAD запросами ходил по урлам в чатах?
> притом не с айпи клиента... лучший мессенжер млять...И чо? Всмысле, почему это должно быть важно лично для меня?
> а как они письма рассылали, если у тебя на балансе бабки есть,
> а ты не пользовался полгода, типа деньги сгорят..Не получал такого. (Деньги на счету есть)
> а как насчет упоротого UI, который сделали вроде с восьмой версии (точно
> не помню уже)?Мне современный UI очень нравится.
> а то что они P2P заменили на свои сервера и подключили этоЗаменили - и ладно. Главное, что качество звонков даже по 3g лучше чем у остальных
> все дело в призм, тоже надо напоминать?В чем?
> И да VSCode тоже не нужно, есть Rider, есть MonoDevelop. Второй хуже
> по функционалу, но лучше по совместимости с полноценной студией. А говноподелки
> на говноэлектроне надо индусам назад впарить.Мне VSCode нравится)
> Есть же FreeOffice (ранее SoftMaker Office) - бесплатный, быстрый, есть порт под
> Linux, хорошо открывает файлы MS Office.
> Зачем нужна Либра?...и, кстати, небесплатный SoftMaker Office никуда не делся, FreeeOffice это его урезанный по возможностям вариант.
>> Есть же FreeOffice (ранее SoftMaker Office) - бесплатный, быстрый, есть порт под Linux, хорошо открывает файлы MS Office.
>> Зачем нужна Либра?Для возможности всегда перейти на более разумное и полезное.
А дыры там те же самые: отмороженные на всю голову фантазёры программисты...
>>> Есть же FreeOffice (ранее SoftMaker Office) - бесплатный, быстрый, есть порт под Linux, хорошо открывает файлы MS Office.
>>> Зачем нужна Либра?
> Для возможности всегда перейти на более разумное и полезное.
> А дыры там те же самые: отмороженные на всю голову фантазёры программисты...Не знаю как насчет "Разумного и полезного", но когда открываешь программу и видишь рисунки на кнопках лесенкой - наступает оторопь)
Ну еще она (либра) часто коверкает файлы в формате MS Office.
>Ну еще она (либра) часто коверкает файлы в формате MS Office.для работы с файлами MSO логично бы иметь сам MSO (и мучаться с его багами и несовместимостью между версиями, ага).
Скажите спасибо, что Либра открывает чужие форматы достаточно хорошо, чтобы с ними можно было работать
>отключить компонент LibreLogoгде инструкции то? Самое главное перевести забыли
В линукс не ставить соответствующий пакет, в винде в инсталляторе выборочная настройка и там выбрать, что это устанавливать не надо
какой пакет не ставить то? саму либру? У меня в репах из связаного с этим софтом - только сама либра и отдельные пакеты переводов. Все.
какой дистр?
Интересный эффект под виндой.
Установлен LibreOffice 6.1.6. По дефолту в инсталяторе LibreLogo действительно стоит.Под пользователем без прав администратора
запускаем инсталятор повторно, он предлагает там изменить, восстановить и удалить. Выбираем "изменить". Убираем компонент LibreOffice. Прав администратора почему-то не просит, пароль не запрашивает. После этого для всех пользователей на компьютере компонент не доступен. Очень странно.
Опечатка. Вместо "Убираем компонент LibreOffice" читать "Убираем компонент LibreLogo".
Возможно, LibreInstaller настолько libre что даже пользователей в ФС не замечает %)
Если серьёзно, то проверь кто владелец и права на %programfiles%/LibreOffice - вполне возможно, что: а) утсановка произведена от/для неадмина, б) венда хаками (для легаси-программ) изменения записала в UserData, а по факту в program files лежит всё по-старому.
sudo apt purge librelogo
$ LC_ALL=C sudo dnf remove libreoffice-librelogo
No match for argument: libreoffice-librelogo
No packages marked for removal.
Dependencies resolved.
Nothing to do.
Complete!
Я смотрю Либра развивается - догоняют M$ Office по части внедрения троянов и дырявой безопасности.Особенно мило, когда тебе секретарша в большой компании просит им не docx, а doc отправить (почему есть такие люди - это выше меня), а его режет на подлете их антивирус.
>Особенно мило, когда тебе секретарша в большой компании просит им не docx, а doc отправить (почему есть такие люди - это выше меня), а его режет на подлете их антивирус.Одной фразой половину моей жизни пересказали. Плачу :lol:
Не надо работать с секретаршами, которые просят doc. Только ODF. Так победим.
Не надо работатьfixed.
А я и не работаю. Советы раздаю.
>> которые просят doc.А опытные, однако.
В 98 году мог набирать в мс ворде формулы, тут до сих пор не завезли?
Еще со времен openoffice с формулами все было норм. В Либре тоже сразу после отпочкования.
> Еще со времен openoffice с формулами все было норм. В Либре тоже
> сразу после отпочкования....со времён StarOffice.
на уровне 98го года - да, уже завезли.напоминаю, что в word есть уже даже inc equation, и он - работает. А mathtype может на пару лет моложе того 98го (а может и наоборот, на пару старше - я просто не интересовался)
Битый час пытался запустить программку на Лого. Ничего не получилось, зато любой код на питоне с помощью панели Лого запускается аж бегом. Даже смешно.
>Например, в продемонстрированном примере эксплоита при открытии документа без предупреждения запускается системный калькулятор...и как давай считать! :)
Использовал эту "уязвимость" чтобы обходить хитрожопых админов еще с версии LO4.2. Наличие Python в AOO/LO - это спасение для автоматизации снизу, от пользователей. Не знал что это уязвимость.Тем более что и в Microsoft Excel есть нечто подобное. Макросы AutoOpen и AutoStart из XLA/XLAM-библиотек также открываются автомтически и безопасностью офиса не контролируются.
> уязвимость в офисном пакете.Макросы? Макросы. Никогда, похоже, не научатся.
LibreLogo, питон, макросы... И зачем козе (LO) баян?!
Как отключить этот самый компонент LibreLogo в LibreOffice? У меня в управлении макросами Python активны только две кнопки Закрыть и Справка.
выше давали рецепт, погляди
Никогда не было, и вот опять...
Через Установку/Удаление программ, Synaptic, ... ,
Отключить компонент LibreLogo при установке.
о чем и говорилось ранее, пока доля линуха микроскопична - никому и не нужны вирусы, как только-так сразу
Макросы, порой, вещь очень нужная, да. Хотя бы автоматически циферки расставить какие-нибудь. Но зачем разрешать СИСТЕМНЫЕ ВЫЗОВЫ!?!!
И как ты его например с 1С интегрируешь? С одной стороны надо с другой не надо.
Охотно поясняю зачем это было и есть. В развитой "лоскутной" офисной автоматизации, активно двигаемой продвинутыми юзерами и некоторыми IT-директорами (админы-ж не кодеры - комплексную они не сделают, а кроме админов в IT-сфере у 90% предприятий никого нет) - позарез как нужны серьезные инструменты:
- системные вызовы, работа с реестром, аккаунтами, environs
- работа с COM/OLE
- генерация HTML с JS
- итд итп.При этом юзер-автоматизатор:
- сидит под ограниченной доменной учеткой + UAC + GP
- не может устанавливать программы от слова вообще
- но очень хочет делать свою работу хорошо, и заодно подруге помочь не сидеть выходные в офисе.И что делает юзер-автоматизатор? Он скачивает с portablrapps.com LibreOffice и jPortable, распаковывает его и получает:
- Python 3.5.4 без pip, setuptools, sqlite (можно скопировать из дому), а к нему 160k+ бесплатных библиотек на все случаи жизни
- JRE, Java
- JavaScript
- BeanShellКак говорится - кодь напропалую. И хороший работодатель этому рад, ведь работа делается, инициатива снизу - есть, не надо заставлять IT-службы исполнять служебки, создавать исключения в GPO и вообще раздавать прав больше, чем забирать, т.е. админить как положено. Ведь админы страшно это не любят...
А есть возможность тихой установки с ключами для винды(исключить librelogo)?
Нашел только как языки исключить...REMOVE=gm_r_ex_Dictionary_Af