The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагаивающей и LibreOffice "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагаивающей и LibreOffice "  +/
Сообщение от opennews (??), 04-Май-21, 23:23 
После трёх месяцев разработки и семи лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.10, в котором предложено 2 исправления. Готовые пакеты подготовлены для Linux, Windows и macOS...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55081

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 04-Май-21, 23:23   +8 +/
>для Linux разработчики LibreOffice отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственности

Лол

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #22, #40

2. Сообщение от anonymous (??), 04-Май-21, 23:25   +1 +/
> Исправление для Linux разработчики LibreOffice отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окружений

О, а я знаю как. В генту специальный конфигурационный файл, называется package.mask

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

3. Сообщение от Аноним (3), 04-Май-21, 23:26   +/
> Исправление для Linux разработчики LibreOffice отказались включать

Ну да, ну да, зачем на серверах запускать маргинальный офисный пакет

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #45

4. Сообщение от Аноним (4), 04-Май-21, 23:28   +1 +/
Вопрос первый: а что, скачивание по smb даёт бинарю на локалке атрибут +x?!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

5. Сообщение от Аноним (5), 04-Май-21, 23:32   +2 +/
>Выпуск Apache OpenOffice

Дайте ему уже спокойно помереть.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

6. Сообщение от Аноним (6), 04-Май-21, 23:32   +/
Разве не даёт? Это ж вроде основное и единственное применение для самбы -- бинари с шары пускать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

7. Сообщение от Аноним (6), 04-Май-21, 23:34   +/
А вот видишь в ОО исправили, а в ЛО всем похрен на remote code execution дыры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #8

8. Сообщение от Аноним (6), 04-Май-21, 23:35   +/
arbitrary
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от Аноним (4), 05-Май-21, 01:36   +1 +/
> разработчики LibreOffice ... проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окружений

Всё правильно. Если чел не освоил smb.conf, ему рано открывать левые доки и кликать по левым ссылкам.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

10. Сообщение от Аноним (10), 05-Май-21, 01:43   +5 +/
Ему рано пользоваться LO.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #23

11. Сообщение от СеменСеменыч777 (?), 05-Май-21, 05:11   +/
> проблема лежит не в их зоне ответственности и должна быть
> устранена на стороне дистрибутивов/пользовательских окружений

A TO !
устранять будем так:

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBIOS]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bowser]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb20]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Smb]
"Start"=dword:00000004

и перезагрузка.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #14

12. Сообщение от Аноним (12), 05-Май-21, 05:34   +1 +/
короче все переходим на генту
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #19

13. Сообщение от Ананимас123 (?), 05-Май-21, 06:29   –2 +/
В лину.псе появился реестр? Ну слава Поттеренгу, наконец-то!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #15

14. Сообщение от Леголасemail (ok), 05-Май-21, 07:14   +/
ну вы и палитесь, Семён Семёныч 777!

> и перезагрузка

прям типичная шindoшs

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #25, #33

15. Сообщение от Аноним (15), 05-Май-21, 07:24   +1 +/
Вообще-то реестр пришел в Windows именно из Unix-а.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #41

16. Сообщение от Аноним (16), 05-Май-21, 07:47   +1 +/
Старший из отдела АНБ не разрешает убрать бэкдор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #17, #30, #52

17. Сообщение от Прохожий (??), 05-Май-21, 08:01   +3 +/
Иной раз все-таки стоит думать головой прежнее, чем ляпать подобные глупости. Компьютеров под Windows гораздо больше, чем под Linux. Поэтому логичнее было бы оставить уязвимость под этой ОС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #18, #31, #35

18. Сообщение от Прохожий (??), 05-Май-21, 08:03   +/
прежнее -> прежде
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

19. Сообщение от ryoken (ok), 05-Май-21, 08:14   –1 +/
Мечта идиота :). Хоть советоваться будет с кем :), кроме гугла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

20. Сообщение от макпыф (ok), 05-Май-21, 09:52   +1 +/
а сервера тут причем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #44

21. Сообщение от Аноним (21), 05-Май-21, 09:59   –1 +/
>отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственности

И вот это "нас рать" лезущее отовсюду - основная проблема современного LO. Да и вообще в опенсорсе что-то часто всплывать стала. Главное господам программистам - не переработать за корпоративные денежки. А на юзера плевать, ибо кто это вообще?

Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от llolik (ok), 05-Май-21, 10:46   +3 +/
Не совсем понял, а в чём лол-то? Вся суть патча AOO -вот

// We consider some protocols unsafe
sal_Bool bUnsafeProtocol;
switch (aINetProtocol) {
    case INET_PROT_HTTP:
    case INET_PROT_HTTPS:
        bSafeExtension = true; // trust the browser to prevent unsafe extensions
    // case INET_PROT_FTP:
    case INET_PROT_VND_SUN_STAR_HELP:
    case INET_PROT_MAILTO:
        bUnsafeProtocol = false;
        break;
    default: // Anything else, including INET_PROT_FILE
        bUnsafeProtocol = true;
        break;
    }
    if ( (!bIsDir && !bSafeExtension) || bUnsafeProtocol )
    {
        /* и дальше показать WarningBox */
остальное - правка комментов с немецкого на английский и прочая мелочь.

LO, наколько я помню (возможно неправильно в код лезть лень), на linux использет gvfs при открытии ссылок на smb/webdav и вот это всё. Это Винда запускает файлы "по расширению" и, следовательно, достаточно забанить опасные и файл не запустится. Linux на расширение не смотрит и поэтом данный метод не подойдёт и нужно выдумывать какой-то другой. Но т.к. LO использует в данном случае возможности окружения/DE, то, наверное, авторы этого окружения/DE и должны придумывать механизм разграничения - что можно удалённо запускать, а что нельзя. Так что авторы LO, в общем-то, правильно всё сказали.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #28

23. Сообщение от Аноним (23), 05-Май-21, 10:50   –1 +/
Так тогда будет пользоваться Windows, тем самым будит кормить армию коперастов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #27, #38

24. Сообщение от Аноним (23), 05-Май-21, 10:51   +3 +/
OpenOffice в отличии от LibreOffice против Столлмана не голосовал!
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от commiethebeastie (ok), 05-Май-21, 11:34   +/
Это же аналог systemctl disable, который тоже без stop не остановит приложение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

26. Сообщение от я (?), 05-Май-21, 11:38   +2 +/
у ОпенОфиса есть огромный плюс - он заморозился, поэтому для "долгоиграющих" файлов, где работа будет идти несколько лет, он замечательно подходит - ничего не отвалится даже при переезде на другой дистр...
ну и легче он... да...
а либра хорошо открывает файлы из почты... вот только теперь... ой...
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Аноним (10), 05-Май-21, 11:39   +/
Чел может юзать AOO.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

28. Сообщение от InuYasha (??), 05-Май-21, 11:57   +/
Нужно ещё разобраться, какой механизм в ДЕ с этим работает. А то может оказаться, что туда пихать вывод диалогов тоже плохая идея, если это API в т.ч. для неинтерактивных обращений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #34

29. Сообщение от YetAnotherOnanym (ok), 05-Май-21, 11:59   +/
> Кроме офисных пакетов OpenOffice и LibreOffice аналогичная проблема также выявлена в Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark и Mumble

Гыыы... Сделали мой день.
Особый привет младоадминам на Wireshark'е от застрявшего на tcpdump&windump луддита-старпёра.

Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от Адмирал Майкл Роджерс (?), 05-Май-21, 12:03   +2 +/
Считаю необходимым заметить, что Агентство Национальной Безопасности США придерживается гибкой политики в вопросах взаимодействия с разработчиками программного обеспечения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #36

31. Сообщение от Аноним (31), 05-Май-21, 12:35   +/
Действительно логично оставить маленькую резервацию для уязвимостей где они могут спокойно существовать и никому не вредить =)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

32. Сообщение от Аноним (31), 05-Май-21, 12:37   +/
Исполняются и скриптовые языки без предупреждения? Так-то на шары обычно noexec ставят
Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от СеменСеменыч777 (?), 05-Май-21, 12:49   +/
> ну вы и палитесь, Семён Семёныч 777!

в упор не вижу палева. я занимаюсь в т.ч. win-*ix interoperability на низком уровне, на всех 3.5 локалхостах. так что могу себе позволить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

34. Сообщение от llolik (ok), 05-Май-21, 12:51   +/
>  Нужно ещё разобраться, какой механизм в ДЕ с этим работает

Ну опять же не команда LO должна заниматься доработками GVFS/GIO. Могут, в приципе, также "запатчить" как и AOO - выводить предупреждение. Ну и толку с того патча, только пользователя раздражает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

35. Сообщение от X86 (ok), 05-Май-21, 13:54   +/
В Windows свои от Microsoft есть, поэтому там как раз им не нужно. А вот в Linux оставить потайную дверь вполне логично.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #37

36. Сообщение от Прохожий (??), 05-Май-21, 14:35   –1 +/
> Считаю необходимым заметить, что Агентство Национальной Безопасности США придерживается
> гибкой политики в вопросах взаимодействия с разработчиками программного обеспечения.

Неуж-то представитель АНБ решил на ОпенНет-е объявиться? Чудеса...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

37. Сообщение от Прохожий (??), 05-Май-21, 14:37   –3 +/
> В Windows свои от Microsoft есть, поэтому там как раз им не
> нужно. А вот в Linux оставить потайную дверь вполне логично.

Типа в Линуксе своих нет. Вспоминается недавний эксперимент вот того, теперь уже забаненого университета, который бэкдоры в ядро прямо слал, и они проходили, как ни странно, всю цензуру.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

38. Сообщение от Аноним (40), 05-Май-21, 16:02   +/
Хм... А кто кормит армию свободных раздолбаев?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

40. Сообщение от Аноним (40), 05-Май-21, 16:07   +/
А чем пользуется дядька Cтолман?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #48

41. Сообщение от Аноним (41), 05-Май-21, 17:24   +/
А подробнее можно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #46

42. Сообщение от Аноним (42), 05-Май-21, 18:24   +/
Господа эксперты, может кто подсказать что за режим графического окружения у автора видео ролика. По виду Xfce, но будто работает в тайловом режиме, Xfce умеет такое, или просто установлен тайловый WM вместо Xfwm?
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от Алекс (??), 05-Май-21, 18:27   +/
Это в апаче наверное такое наказание: плохо пишешь код, посадим за опенофис.
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Аноним (44), 05-Май-21, 22:59   +1 +/
Линукс же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

45. Сообщение от Arioch (??), 05-Май-21, 23:41   +/
> Ну да, ну да, зачем на серверах запускать маргинальный офисный пакет

ну например XWiki.org использовала OpenOffice в режиме http-управляемого сервера для экспорта страничек в разные "офисные" форматы

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #49

46. Сообщение от Arioch (??), 05-Май-21, 23:42   +/
> А подробнее можно?

сбежал

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

47. Сообщение от Аноним (47), 05-Май-21, 23:46   +/
Вот вам и "неразвивающиеся продукты апача". :D
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от maximnik0 (?), 06-Май-21, 00:30   +/
>А чем пользуется дядька Cтолман?

Emacs, классику знать надо. :-)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

49. Сообщение от Аноним (44), 06-Май-21, 01:56   +/
Вряд ли они таким образом ссылки бы открывали :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

52. Сообщение от Аноним (52), 12-Май-21, 17:49   +/
> мотивируя своё решение тем, что проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окружений.

Старший над АНБ запрещает OS которые исполняют всякую дрянь:

2.1.3.1.1 System Architecture
The TCB shall maintain a domain for its own execution protects it from external interference or tampering (e.g., by modification of its code or data strucutres). Resources controlled by the TCB may be a defined subset of the subjects and objects in the ADP system.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру