Раскрыты сведения о трёх уязвимостях в офисных пакетах LibreOffice и Apache OpenOffice, позволяющих атакующим подготовить документы, выглядящие как подписанные заслуживающим доверия источником, или изменить дату уже подписанного документа. Проблемы были устранены в выпусках Apache OpenOffice 4.1.11 и LibreOffice 7.0.6/7.1.2 под видом не связанных с безопасностью ошибок (выпуски LibreOffice 7.0.6 и 7.1.2 опубликованы в начале мая, но сведения об уязвимости раскрыты только сейчас)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55953
Не страшно, всё равно этим продуктом никто не пользуется.
https://opennet.ru/48084-libreoffice. И это только LO. И только за 2 недели.
Если им никто не пользуется то откуда уязвимости?, сами вылезли?, логику понимаш?
Так не пишите о нем.
Так об авторе коммента никто не узнает.
Да что мс офис, что эти...одна широкая дырень.Кстати каллигра вот радует. В щит парадах не мелькает. Вот что значит кьютик и кресты:)
> каллигра вот радуетНе радует.
Меня не радует только интеграцией наметившейся с линуксмс зондами. Думал, что при переходе на фреймворк полегчает. В остальном там как-то стабильнее, чем у этих гткшных.
Ну звиняй. Я не планктонье. Под мои задачи открыть и полистать то, что наваял планктон, самое оно.
А тебе что такого прям оригинального от него требуется? Обычный офисный пакет, на любителя
Ей наверное не особо интересуются, вот и не пишут о дырах.
А линукса много очень стало, что аж мс по дырам догоняет?
А питон не так популярен, как пых, поэтому в нем дыр меньше?)
Как будто, LibreOffice не на C++.
Насколько помню на джаве и гуй без ооп:)
Беги к доктору скорее, только напиши самому себе напоминалку куда бежишь и зачем.
А то можешь по дороге забыть.
Обоснуй. Или ты щас начнешь вещать на чем жвм?
Дорогой коллега аноним. Спешу развеять ваше заблуждение: далеко не всё, что выглядт как говно, автоматически является написанным на джаве. Есть множество других страшенных, как моя жизнь, тулкитов! один из которых (VCL они его вроде называют) используется в опен/либре офисах по умолчанию.Вообще про ОО/ЛО на джаве это какой-то очень старинный миф из-за какого-то прилепленного там сбоку плагина на ней, но все программы на самом деле там написаны вполне себе на плюсах, запустить cloc в исходниках оставим как домашнее задание.
Стоп. Как говно для меня выглядит гтк. Ну это можно списать на вкусовщину.Но что касаемо мифов:
Although originally written in C++, OpenOffice.org became increasingly reliant on the Java Runtime Environment, even including a bundled JVM.[108] OpenOffice.org was criticized by the Free Software Foundation for its increasing dependency on Java, which was not free software.[109]
The issue came to the fore in May 2005, when Richard Stallman appeared to call for a fork of the application in a posting on the Free Software Foundation website.[109] OpenOffice.org adopted a development guideline that future versions of OpenOffice.org would run on free implementations of Java and fixed the issues which previously prevented OpenOffice.org 2.0 from using free-software Java implementations.[110]
On 13 November 2006, Sun committed to releasing Java under the GNU General Public License[111] and had released a free software Java, OpenJDK, by May 2007.
Сорр и что педивикию привел в качестве аргумента, но искать более серьезные источники среди ночи лениво. Али таки врут и все мифы? И весь сыр-бор из-за с боку прилепленного плагина?
Будь оно на плюсах пьюре работало бы пошустрей без ощутимого гц)
>запустить cloc в исходниках оставим как домашнее задание.
Даже прикасаться к этому не хочу. Даже в перчатках.
Вот этому анониму спасибо за наметку по поводу графического тулкита. Копнул, там действительно пилили это некрасивое свое, когда еще санкам оно принадлежало. Боялись лицензий, потому изобретали лисапед.Но кто знает, подскажиье плиз, почему имея свой тулкит оно тащит за собой гтк?
https://ru.wikipedia.org/wiki/LibreOffice> Написана на C++
https://www.openhub.net/p/openoffice/analyses/latest/languag...
java есть, но большая часть C++
Не читай русскую педивикию. Мой совет.https://en.m.wikipedia.org/wiki/LibreOffice
В целом, такие проекты всегда пишут с применением большого числа инструментов. Там есть и пайтон и перл. Это щас принято взять питон и сервер синапс полностью написать. А у меня неделю опять он глючит. Питоняши.
Ну а про джаву в попен офисах мои выдержки выше как прокоментируете?
Скандал был от того, что на джаве незначительная часть или как?
да, в LO джава есть но это опциональная зависимость (там вроде какие то не то плагины не то апи, точно не помню)В OO большая часть на плюсах вроде, хотя я его исхи никогда не видел, использую LO
Ну сами посудите, по Вашей же ссылке там больше 800к строчек кода на жаве. Как оно может быть опционально?Я не утверждал, что все эти офисы на чистой жабе. Это исесн не так. Но она там есть и судя по скандалам, которые копипастил выше, занимает не последнее место.
Кстати, мож Вы подскажете, почему они имея свой графический тулкит тянут за собой гтк?
> Ну сами посудите, по Вашей же ссылке там больше 800к строчек кода
> на жаве.Судя по моей ссылке 500k строк в OO, а опциональна она в LO
> Я не утверждал, что все эти офисы на чистой жабе. Это исесн
> не так.Вы утверждали:
> Насколько помню на джаве
В ответ на
> Как будто, LibreOffice не на C++.
То есть что либра не на плюсах, а на джаве что уж точно не верно. Да и в отношение OO тоже т.к. на плюсах большая часть
> Кстати, мож Вы подскажете, почему они имея свой графический тулкит тянут за
> собой гтк?https://ask.libreoffice.org/t/which-gui-toolkit-is-used-by-l...
Как я понял их тулкит работает поверх gtk или qt
>Судя по моей ссылке 500k строк в OO, а опциональна она в LOСтранно. Тотал лайнс я вижу 800.
Думаете либры настолько перелопатили архитектуру? Очень сомневаюсь.>Вы утверждали:
> Насколько помню на джавеВ ответ на
> Как будто, LibreOffice не на C++.Читайте дальше. Я утвержал, что такие масштабные проккты пишутся с использованием множества яп, как инструментов. Там даже перл есть. Не то что питоняшт с матриксом.
>То есть что либра не на плюсах, а на джаве что уж точно не верно. Да и в отношение OO тоже т.к. на плюсах большая часть
Опять же смотря как считать. Если сравнить варианты даже хелловорд на джаве и сях, Вы поймете, что в боевом проекте на строку кода на джаве прихрдится в лучшем случае 3 строки кода на си. Патамушта нет вирт машины и все надо своей головой. Потому 800тыс смело умножайте на 3 минимум.
Вот так будет более верно.
>Как я понял их тулкит работает поверх gtk или qt
За линк сенкую! Почитаю. Если так, то это ппц конечно.
Вообще эти проекты рефакторить бы конечно уже пора.
Во имя великой справедливости дополню себя:https://www.openhub.net/p/libreoffice/analyses/latest/langua...
Таки либерторианцы почти в двое жабу придушили. Молодцы!
Таки они более Ъ, чем попеновцы!
По поводу явы, в дополнение к выше сказанному - опция на ее отключение + описание из blfs--without-java: This switch disables Java support in LibreOffice. Java is needed for the deprecated HSQLDB driver, which allows reading databases created by other programs or in earlier versions of libreoffice base.
Вы не путайте экосистему кода софта и отключение внешней инфраструктуры джавы. Это не одно и тоже!
Остаётся порадоваться за них. Это точно не эффект неуловимого Джо?
Эффект не эффект, а чем меньше в темных закоулках у васянов сплоитов, тем лучше!
Заменяет МС Офис полностью по возможностям?
Для моих задач да. А для задач планктона не заменяют и либре/попены. Сэд бат труъ.
Когда пользовался по работе - нет. Только freeoffice. Сейчас не знаю
полностью и даже удобнее
В LibreOffice 7.2.x значит небыло уязвимостей?
Нет. Новый ЛО - новые уязвимости.
>изменить дату уже подписанного документаНе баг а фича.
Вот жеж, вроде и рукопашного управления памятью нет и рау-поинтеров нет как в ненавистных сях и плюсах, а баги те же самые. Может это потому что пейсатели софта головожопые моллюски, а не языки и технологии плохие. Ни расты, ни защищённое управление памятью не поможет рукожопам, коих за последние двадцать лет развелось как у барбоски блох.
500грамм благородного напитка этому регистранту.
Я бы рассматривал сам факт поиска CVE как доказательство признания (и достаточно широкого распространения) продукта.То что переусложнённый комбайн с интерпретатором ЯП на борту будет нашпигован CVE как сервелат жиром, немного предсказуемо. Но теперь пен-тестеры (или кто там ковырялся) признают продукт достойным потраченного времени. Наряду с поделием от M$. Вот это, я считаю, успех (безо всякого сарказма).
> под видом не связанных с безопасностью ошибокэто неправильно я считаю
я могу просто не устанавливать новую версию зная что в этом нет необходимости