The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

30.06.2016 09:18  Уязвимость в LibreOffice

В свободном офисном пакете LibreOffice выявлена уязвимость (CVE-2016-4324), позволяющая инициировать выполнение кода злоумышленника при открытии специально оформленного документа в формате RTF. Причиной уязвимости является обращение к уже освобождённому блоку памяти (Use After Free) в парсере формата RTF, при наличии в документе одновременно таблиц стилей для нормальных и надстрочных символов (superscript). Проблема устранена в опубликованном на прошлой неделе выпуске LibreOffice 5.1.4.

  1. Главная ссылка к новости (https://www.libreoffice.org/ab...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: libreoffice
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 09:28, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Так и надо тем, кто использует этот формат.
     
     
  • 2.7, Аноним (-), 09:58, 30/06/2016 [^] [ответить]    [к модератору]
  • +6 +/
    кек, а кто все rtf доки в православные форматы переведёт?
     
  • 2.18, Аноним (-), 13:55, 30/06/2016 [^] [ответить]    [к модератору]
  • +/
    Российские органы часто дают шаблоны документов в таком формате. Внедряют шпионов.
     
  • 2.23, Аноним (-), 16:58, 30/06/2016 [^] [ответить]    [к модератору]
  • –1 +/
    И тем, кто использует кресты.
     
  • 1.2, iPony (?), 09:42, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    А что делать любителям штабильности, которые сидят на 5.0.X?
     
     
  • 2.4, eganru (?), 09:44, 30/06/2016 [^] [ответить]    [к модератору]  
  • +22 +/
    опасаться специально оформленных файлов в формате RTF.
     
  • 2.19, Аноним (-), 14:10, 30/06/2016 [^] [ответить]    [к модератору]  
  • +/
    На официальном сайте вообше нет никакой информации, ни списка изменений для последней 5.0.6 ни информации об уязвимых для CVE-2016-4324 версиях
     
     
  • 3.21, Аноним (-), 16:04, 30/06/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    дык свобода же? кому надо сам поищет есть ли уязвимость в их версии.
    Кто не может - заплатит вендору и будет пользовать LibreOffice из дистрибутива.
     
     
  • 4.27, Andrey Mitrofanov (?), 19:52, 30/06/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    >будет пользовать LibreOffice из дистрибутива.

    например. https://security-tracker.debian.org/tracker/CVE-2016-4324

    в sid-е - "уже", 5.1.4~rc2-2

    в stable - уже в 4.3.3-2+deb8u5  -- в security-обновлении
      https://www.debian.org/security/2016/dsa-3608

    (и пока не в "поинт"-релизе, там +deb8u4 / vulnerable)

    про wheezy 3.5.4+dfsg2-0+deb7u6 пишет vulnerable

    LTS, backports - нет (пока?).

     
  • 4.28, Аноним (-), 23:09, 30/06/2016 [^] [ответить]    [к модератору]  
  • +/
    Это как раз не достаточная свобода доступа к процессу разработки (нет changelog для 5.0.6)
     
  • 1.3, Аноним (-), 09:44, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    и как обновить миллиарды вантузов? через адэ?
     
     
  • 2.6, Онанист (?), 09:51, 30/06/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    > через адэ?

    через что,простите?))

     
     
  • 3.11, Аноним (-), 10:08, 30/06/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    AD
     
  • 2.17, Клыкастый (ok), 13:33, 30/06/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    корпоративные - через адэ, а хомячковые, как обычно, через задэ.
     
  • 1.5, Онанист (?), 09:50, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –5 +/
    Как эту уязвимость обнаружили, если этот формат ни разу не используется? Три с половиной анонимуса подтверждают))
     
     
  • 2.8, Кирилл (??), 09:59, 30/06/2016 [^] [ответить]    [к модератору]  
  • +/
    В сбербанке по регламенту только его и можно. И даже с внешними контрагентами они только через RTF обмениваются текстом. Какбэ... пользуются. Много.
     
  • 2.12, Аноним (-), 10:54, 30/06/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    В условиях неполной поддержки .doc(x) LO и неполной поддержки .odf MSO .rtf - самый портируемый формат.
     
     
  • 3.14, iPony (?), 11:18, 30/06/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    > самый портируемый формат

    Типа того. В отличии от навороченных docx или odf, разобраться с ним можно без проблем.

     
     
  • 4.15, Andrey Mitrofanov (?), 12:01, 30/06/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    >разобраться с ним
    > можно без проблем.

    Наверху точно читал?  DF чего-то упускает -- молнируй им.

     
  • 3.22, хрю (?), 16:40, 30/06/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    один раз попробовал заюзать rft в openoffice.
    так вылезли такие баги и проблемы, что закрыл и больше не открывал.
    для теста открыл в ненавистном офисе - всё шоколадно.
    Вот и поддержка открытого формата.
     
     
  • 4.25, Аноним (-), 18:17, 30/06/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Не путайте, openoffice != libreoffice
     
  • 2.31, adolfus (ok), 12:18, 01/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Программеры LO зарабатывают тем, что сами вставляют в продукт баги и вульнерабилитисы, после чего их "обнаруживают", тем и живут. Ниже ссылка про технологию и ее обсуждение

    http://forumooo.ru/index.php/topic,5399.msg33984.html#msg33984

     
  • 1.9, Какаянахренразница (ok), 10:00, 30/06/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Кому бы послать мэйл с вложенным файлом "мои_фотки.rtf"?..
     
     
  • 2.13, Аноним (-), 11:00, 30/06/2016 [^] [ответить]    [к модератору]  
  • +6 +/
    Да ладно вам измудряться. И на я_в_бане.ехе ещё хорошо клюют.
     
  • 2.16, Аноним (-), 12:58, 30/06/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    нафиг изголяться так, если 95% населения радостно откроют реквизиты.ехе?
     
     
  • 3.20, Аноним (-), 14:39, 30/06/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Тебе то что с того? Ты победишь от этого? Нет.
     
  • 3.24, Мяут (ok), 18:12, 30/06/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    слово "изголяться" в данном контексте обладает не совсем очевидным значением
     
     
  • 4.26, Аноним84701 (?), 19:18, 30/06/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    > слово "изголяться" в данном контексте обладает не совсем очевидным значением

    Может, потому что подразумевалось "изгаляться"?
    Правда тайные знания стремлений и чаяний "95% населения" уже, как бы, намекали …

     
     
  • 5.29, Какаянахренразница (ok), 06:18, 01/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > Может, потому что подразумевалось "изгаляться"?

    Изгаля... Галя? Какая такая Галя? Скинь на мыло, посмотрим на эту Галю.

     
     
  • 6.30, Sen (?), 10:18, 01/07/2016 [^] [ответить]    [к модератору]  
  • +/
    галя(много пробелов).rtf?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor