The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагаивающей и LibreOffice "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагаивающей и LibreOffice "  +/
Сообщение от opennews (??), 04-Май-21, 23:23 
После трёх месяцев разработки и семи лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.10, в котором предложено 2 исправления. Готовые пакеты подготовлены для Linux, Windows и macOS...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55081

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +8 +/
Сообщение от Аноним (1), 04-Май-21, 23:23 
>для Linux разработчики LibreOffice отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственности

Лол

Ответить | Правка | Наверх | Cообщить модератору

16. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +1 +/
Сообщение от Аноним (16), 05-Май-21, 07:47 
Старший из отдела АНБ не разрешает убрать бэкдор.
Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +3 +/
Сообщение от Прохожий (??), 05-Май-21, 08:01 
Иной раз все-таки стоит думать головой прежнее, чем ляпать подобные глупости. Компьютеров под Windows гораздо больше, чем под Linux. Поэтому логичнее было бы оставить уязвимость под этой ОС.
Ответить | Правка | Наверх | Cообщить модератору

18. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Прохожий (??), 05-Май-21, 08:03 
прежнее -> прежде
Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Аноним (31), 05-Май-21, 12:35 
Действительно логично оставить маленькую резервацию для уязвимостей где они могут спокойно существовать и никому не вредить =)
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

35. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от X86 (ok), 05-Май-21, 13:54 
В Windows свои от Microsoft есть, поэтому там как раз им не нужно. А вот в Linux оставить потайную дверь вполне логично.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

37. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  –3 +/
Сообщение от Прохожий (??), 05-Май-21, 14:37 
> В Windows свои от Microsoft есть, поэтому там как раз им не
> нужно. А вот в Linux оставить потайную дверь вполне логично.

Типа в Линуксе своих нет. Вспоминается недавний эксперимент вот того, теперь уже забаненого университета, который бэкдоры в ядро прямо слал, и они проходили, как ни странно, всю цензуру.

Ответить | Правка | Наверх | Cообщить модератору

30. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +2 +/
Сообщение от Адмирал Майкл Роджерс (?), 05-Май-21, 12:03 
Считаю необходимым заметить, что Агентство Национальной Безопасности США придерживается гибкой политики в вопросах взаимодействия с разработчиками программного обеспечения.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

36. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  –1 +/
Сообщение от Прохожий (??), 05-Май-21, 14:35 
> Считаю необходимым заметить, что Агентство Национальной Безопасности США придерживается
> гибкой политики в вопросах взаимодействия с разработчиками программного обеспечения.

Неуж-то представитель АНБ решил на ОпенНет-е объявиться? Чудеса...

Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Аноним (52), 12-Май-21, 17:49 
> мотивируя своё решение тем, что проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окружений.

Старший над АНБ запрещает OS которые исполняют всякую дрянь:

2.1.3.1.1 System Architecture
The TCB shall maintain a domain for its own execution protects it from external interference or tampering (e.g., by modification of its code or data strucutres). Resources controlled by the TCB may be a defined subset of the subjects and objects in the ADP system.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

22. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +3 +/
Сообщение от llolik (ok), 05-Май-21, 10:46 
Не совсем понял, а в чём лол-то? Вся суть патча AOO -вот

// We consider some protocols unsafe
sal_Bool bUnsafeProtocol;
switch (aINetProtocol) {
    case INET_PROT_HTTP:
    case INET_PROT_HTTPS:
        bSafeExtension = true; // trust the browser to prevent unsafe extensions
    // case INET_PROT_FTP:
    case INET_PROT_VND_SUN_STAR_HELP:
    case INET_PROT_MAILTO:
        bUnsafeProtocol = false;
        break;
    default: // Anything else, including INET_PROT_FILE
        bUnsafeProtocol = true;
        break;
    }
    if ( (!bIsDir && !bSafeExtension) || bUnsafeProtocol )
    {
        /* и дальше показать WarningBox */
остальное - правка комментов с немецкого на английский и прочая мелочь.

LO, наколько я помню (возможно неправильно в код лезть лень), на linux использет gvfs при открытии ссылок на smb/webdav и вот это всё. Это Винда запускает файлы "по расширению" и, следовательно, достаточно забанить опасные и файл не запустится. Linux на расширение не смотрит и поэтом данный метод не подойдёт и нужно выдумывать какой-то другой. Но т.к. LO использует в данном случае возможности окружения/DE, то, наверное, авторы этого окружения/DE и должны придумывать механизм разграничения - что можно удалённо запускать, а что нельзя. Так что авторы LO, в общем-то, правильно всё сказали.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

28. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от InuYasha (??), 05-Май-21, 11:57 
Нужно ещё разобраться, какой механизм в ДЕ с этим работает. А то может оказаться, что туда пихать вывод диалогов тоже плохая идея, если это API в т.ч. для неинтерактивных обращений.
Ответить | Правка | Наверх | Cообщить модератору

34. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от llolik (ok), 05-Май-21, 12:51 
>  Нужно ещё разобраться, какой механизм в ДЕ с этим работает

Ну опять же не команда LO должна заниматься доработками GVFS/GIO. Могут, в приципе, также "запатчить" как и AOO - выводить предупреждение. Ну и толку с того патча, только пользователя раздражает.

Ответить | Правка | Наверх | Cообщить модератору

40. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Аноним (40), 05-Май-21, 16:07 
А чем пользуется дядька Cтолман?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

48. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от maximnik0 (?), 06-Май-21, 00:30 
>А чем пользуется дядька Cтолман?

Emacs, классику знать надо. :-)

Ответить | Правка | Наверх | Cообщить модератору

2. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +1 +/
Сообщение от anonymous (??), 04-Май-21, 23:25 
> Исправление для Linux разработчики LibreOffice отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окружений

О, а я знаю как. В генту специальный конфигурационный файл, называется package.mask

Ответить | Правка | Наверх | Cообщить модератору

12. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +1 +/
Сообщение от Аноним (12), 05-Май-21, 05:34 
короче все переходим на генту
Ответить | Правка | Наверх | Cообщить модератору

19. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  –1 +/
Сообщение от ryoken (ok), 05-Май-21, 08:14 
Мечта идиота :). Хоть советоваться будет с кем :), кроме гугла.
Ответить | Правка | Наверх | Cообщить модератору

3. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Аноним (3), 04-Май-21, 23:26 
> Исправление для Linux разработчики LibreOffice отказались включать

Ну да, ну да, зачем на серверах запускать маргинальный офисный пакет

Ответить | Правка | Наверх | Cообщить модератору

20. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +1 +/
Сообщение от макпыф (ok), 05-Май-21, 09:52 
а сервера тут причем?
Ответить | Правка | Наверх | Cообщить модератору

44. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +1 +/
Сообщение от Аноним (44), 05-Май-21, 22:59 
Линукс же
Ответить | Правка | Наверх | Cообщить модератору

45. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Arioch (??), 05-Май-21, 23:41 
> Ну да, ну да, зачем на серверах запускать маргинальный офисный пакет

ну например XWiki.org использовала OpenOffice в режиме http-управляемого сервера для экспорта страничек в разные "офисные" форматы

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

49. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Аноним (44), 06-Май-21, 01:56 
Вряд ли они таким образом ссылки бы открывали :)
Ответить | Правка | Наверх | Cообщить модератору

4. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +1 +/
Сообщение от Аноним (4), 04-Май-21, 23:28 
Вопрос первый: а что, скачивание по smb даёт бинарю на локалке атрибут +x?!
Ответить | Правка | Наверх | Cообщить модератору

6. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Аноним (6), 04-Май-21, 23:32 
Разве не даёт? Это ж вроде основное и единственное применение для самбы -- бинари с шары пускать.
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  +2 +/
Сообщение от Аноним (5), 04-Май-21, 23:32 
Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором  +/
Сообщение от Аноним (6), 04-Май-21, 23:34 
Ответить | Правка | Наверх | Cообщить модератору

8. Скрыто модератором  +/
Сообщение от Аноним (6), 04-Май-21, 23:35 
Ответить | Правка | Наверх | Cообщить модератору

9. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +1 +/
Сообщение от Аноним (4), 05-Май-21, 01:36 
> разработчики LibreOffice ... проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окружений

Всё правильно. Если чел не освоил smb.conf, ему рано открывать левые доки и кликать по левым ссылкам.

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +5 +/
Сообщение от Аноним (10), 05-Май-21, 01:43 
Ему рано пользоваться LO.
Ответить | Правка | Наверх | Cообщить модератору

23. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  –1 +/
Сообщение от Аноним (23), 05-Май-21, 10:50 
Так тогда будет пользоваться Windows, тем самым будит кормить армию коперастов
Ответить | Правка | Наверх | Cообщить модератору

27. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Аноним (10), 05-Май-21, 11:39 
Чел может юзать AOO.
Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Аноним (40), 05-Май-21, 16:02 
Хм... А кто кормит армию свободных раздолбаев?
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

11. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от СеменСеменыч777 (?), 05-Май-21, 05:11 
> проблема лежит не в их зоне ответственности и должна быть
> устранена на стороне дистрибутивов/пользовательских окружений

A TO !
устранять будем так:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBIOS]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bowser]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb20]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Smb]
"Start"=dword:00000004

и перезагрузка.

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  –2 +/
Сообщение от Ананимас123 (?), 05-Май-21, 06:29 
В лину.псе появился реестр? Ну слава Поттеренгу, наконец-то!
Ответить | Правка | Наверх | Cообщить модератору

15. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +1 +/
Сообщение от Аноним (15), 05-Май-21, 07:24 
Вообще-то реестр пришел в Windows именно из Unix-а.
Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Аноним (41), 05-Май-21, 17:24 
А подробнее можно?
Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Arioch (??), 05-Май-21, 23:42 
> А подробнее можно?

сбежал

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от Леголасemail (ok), 05-Май-21, 07:14 
ну вы и палитесь, Семён Семёныч 777!

> и перезагрузка

прям типичная шindoшs

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

25. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от commiethebeastie (ok), 05-Май-21, 11:34 
Это же аналог systemctl disable, который тоже без stop не остановит приложение.
Ответить | Правка | Наверх | Cообщить модератору

33. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."  +/
Сообщение от СеменСеменыч777 (?), 05-Май-21, 12:49 
> ну вы и палитесь, Семён Семёныч 777!

в упор не вижу палева. я занимаюсь в т.ч. win-*ix interoperability на низком уровне, на всех 3.5 локалхостах. так что могу себе позволить.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

21. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости,  з..."  –1 +/
Сообщение от Аноним (21), 05-Май-21, 09:59 
>отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственности

И вот это "нас рать" лезущее отовсюду - основная проблема современного LO. Да и вообще в опенсорсе что-то часто всплывать стала. Главное господам программистам - не переработать за корпоративные денежки. А на юзера плевать, ибо кто это вообще?

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости,  з..."  +3 +/
Сообщение от Аноним (23), 05-Май-21, 10:51 
OpenOffice в отличии от LibreOffice против Столлмана не голосовал!
Ответить | Правка | Наверх | Cообщить модератору

26. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости,  з..."  +2 +/
Сообщение от я (?), 05-Май-21, 11:38 
у ОпенОфиса есть огромный плюс - он заморозился, поэтому для "долгоиграющих" файлов, где работа будет идти несколько лет, он замечательно подходит - ничего не отвалится даже при переезде на другой дистр...
ну и легче он... да...
а либра хорошо открывает файлы из почты... вот только теперь... ой...
Ответить | Правка | Наверх | Cообщить модератору

29. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости,  з..."  +/
Сообщение от YetAnotherOnanym (ok), 05-Май-21, 11:59 
> Кроме офисных пакетов OpenOffice и LibreOffice аналогичная проблема также выявлена в Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark и Mumble

Гыыы... Сделали мой день.
Особый привет младоадминам на Wireshark'е от застрявшего на tcpdump&windump луддита-старпёра.

Ответить | Правка | Наверх | Cообщить модератору

32. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости,  з..."  +/
Сообщение от Аноним (31), 05-Май-21, 12:37 
Исполняются и скриптовые языки без предупреждения? Так-то на шары обычно noexec ставят
Ответить | Правка | Наверх | Cообщить модератору

42. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости,  з..."  +/
Сообщение от Аноним (42), 05-Май-21, 18:24 
Господа эксперты, может кто подсказать что за режим графического окружения у автора видео ролика. По виду Xfce, но будто работает в тайловом режиме, Xfce умеет такое, или просто установлен тайловый WM вместо Xfwm?
Ответить | Правка | Наверх | Cообщить модератору

43. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости,  з..."  +/
Сообщение от Алекс (??), 05-Май-21, 18:27 
Это в апаче наверное такое наказание: плохо пишешь код, посадим за опенофис.
Ответить | Правка | Наверх | Cообщить модератору

47. "Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости,  з..."  +/
Сообщение от Аноним (47), 05-Май-21, 23:46 
Вот вам и "неразвивающиеся продукты апача". :D
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру