The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи"  +/
Сообщение от opennews (ok), 12-Окт-21, 13:57 
Раскрыты сведения о трёх уязвимостях в офисных пакетах LibreOffice и Apache OpenOffice, позволяющих атакующим подготовить документы,  выглядящие как подписанные заслуживающим доверия источником, или изменить дату уже подписанного документа. Проблемы были устранены в выпусках Apache OpenOffice 4.1.11 и LibreOffice 7.0.6/7.1.2 под видом не связанных с безопасностью ошибок (выпуски LibreOffice 7.0.6 и 7.1.2 опубликованы в начале мая, но сведения об уязвимости раскрыты только сейчас)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55953

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от QwertyReg (ok), 12-Окт-21, 13:57   –17 +/
Не страшно, всё равно этим продуктом никто не пользуется.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #5, #7

3. Сообщение от anonymizeremail (?), 12-Окт-21, 14:11   +/
https://opennet.ru/48084-libreoffice. И это только LO. И только за 2 недели.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от Аноним (4), 12-Окт-21, 14:20   +/
Да что мс офис, что эти...одна широкая дырень.

Кстати каллигра вот радует. В щит парадах не мелькает. Вот что значит кьютик и кресты:)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #11, #14, #21, #27

5. Сообщение от Alladin (?), 12-Окт-21, 14:20   +2 +/
Если им никто не пользуется то откуда уязвимости?, сами вылезли?, логику понимаш?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

7. Сообщение от Аноним (7), 12-Окт-21, 14:21   +/
Так не пишите о нем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #10

8. Сообщение от Аноним (7), 12-Окт-21, 14:22   +/
> каллигра вот радует

Не радует.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #13

10. Сообщение от Аноним (10), 12-Окт-21, 14:35   +/
Так об авторе коммента никто не узнает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

11. Сообщение от ryoken (ok), 12-Окт-21, 14:36   +2 +/
Ей наверное не особо интересуются, вот и не пишут о дырах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #15

13. Сообщение от Аноним (4), 12-Окт-21, 14:37   +/
Меня не радует только интеграцией наметившейся с линуксмс зондами. Думал, что при переходе на фреймворк полегчает. В остальном там как-то стабильнее, чем у этих гткшных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #18, #19

14. Сообщение от Anonymous XE (?), 12-Окт-21, 14:38   +1 +/
Как будто, LibreOffice не на C++.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #16

15. Сообщение от Аноним (4), 12-Окт-21, 14:41   +/
А линукса много очень стало, что аж мс по дырам догоняет?
А питон не так популярен, как пых, поэтому в нем дыр меньше?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

16. Сообщение от Аноним (4), 12-Окт-21, 14:42   –4 +/
Насколько помню на джаве и гуй без ооп:)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #24, #44, #54

18. Сообщение от Аноним (4), 12-Окт-21, 14:54   +/
Ну звиняй. Я не планктонье. Под мои задачи открыть и полистать то, что наваял планктон, самое оно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

19. Сообщение от Аноним (19), 12-Окт-21, 14:55   +/
А тебе что такого прям оригинального от него требуется? Обычный офисный пакет, на любителя
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

21. Сообщение от kusb (?), 12-Окт-21, 14:57   +/
Остаётся порадоваться за них. Это точно не эффект неуловимого Джо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #22

22. Сообщение от Аноним (4), 12-Окт-21, 15:05   +/
Эффект не эффект, а чем меньше в темных закоулках у васянов сплоитов, тем лучше!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

23. Сообщение от Аноним (23), 12-Окт-21, 15:26   –1 +/
В LibreOffice 7.2.x значит небыло уязвимостей?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

24. Сообщение от териванов (?), 12-Окт-21, 15:58   +1 +/
Беги к доктору скорее, только напиши самому себе напоминалку куда бежишь и зачем.
А то можешь по дороге забыть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #25

25. Сообщение от Аноним (4), 12-Окт-21, 16:20   –2 +/
Обоснуй. Или ты щас начнешь вещать на чем жвм?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

27. Сообщение от Аноним (27), 12-Окт-21, 16:34   +/
Заменяет МС Офис полностью по возможностям?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #28, #43, #59

28. Сообщение от Аноним (4), 12-Окт-21, 16:38   +/
Для моих задач да. А для задач планктона не заменяют и либре/попены. Сэд бат труъ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

37. Сообщение от Аноним (37), 12-Окт-21, 20:29   +/
Нет. Новый ЛО - новые уязвимости.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

40. Сообщение от Аноним (40), 12-Окт-21, 21:12   +/
>изменить дату уже подписанного документа

Не баг а фича.

Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Маняним (?), 12-Окт-21, 22:36   +/
Вот жеж, вроде и рукопашного управления памятью нет и рау-поинтеров нет как в ненавистных сях и плюсах, а баги те же самые. Может это потому что пейсатели софта головожопые моллюски, а не языки и технологии плохие. Ни расты, ни защищённое управление памятью не поможет рукожопам, коих за последние двадцать лет развелось как у барбоски блох.
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от бармен (?), 12-Окт-21, 22:56   +/
500грамм благородного напитка этому регистранту.
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от Аноним (43), 13-Окт-21, 00:21   +/
Когда пользовался по работе  - нет. Только freeoffice. Сейчас не знаю
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

44. Сообщение от Аноним (44), 13-Окт-21, 01:16   +/
Дорогой коллега аноним. Спешу развеять ваше заблуждение: далеко не всё, что выглядт как говно, автоматически является написанным на джаве. Есть множество других страшенных, как моя жизнь, тулкитов! один из которых (VCL они его вроде называют) используется в опен/либре офисах по умолчанию.

Вообще про ОО/ЛО на джаве это какой-то очень старинный миф из-за какого-то прилепленного там сбоку плагина на ней, но все программы на самом деле там написаны вполне себе на плюсах, запустить cloc в исходниках оставим как домашнее задание.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #45, #56

45. Сообщение от Аноним (4), 13-Окт-21, 01:50   +/
Стоп. Как говно для меня выглядит гтк. Ну это можно списать на вкусовщину.

Но что касаемо мифов:

Although originally written in C++, OpenOffice.org became increasingly reliant on the Java Runtime Environment, even including a bundled JVM.[108] OpenOffice.org was criticized by the Free Software Foundation for its increasing dependency on Java, which was not free software.[109]

The issue came to the fore in May 2005, when Richard Stallman appeared to call for a fork of the application in a posting on the Free Software Foundation website.[109] OpenOffice.org adopted a development guideline that future versions of OpenOffice.org would run on free implementations of Java and fixed the issues which previously prevented OpenOffice.org 2.0 from using free-software Java implementations.[110]

On 13 November 2006, Sun committed to releasing Java under the GNU General Public License[111] and had released a free software Java, OpenJDK, by May 2007.

Сорр и что педивикию привел в качестве аргумента, но искать более серьезные источники среди ночи лениво. Али таки врут и все мифы? И весь сыр-бор из-за с боку прилепленного плагина?

Будь оно на плюсах пьюре  работало бы пошустрей без ощутимого гц)

>запустить cloc в исходниках оставим как домашнее задание.

Даже прикасаться к этому не хочу. Даже в перчатках.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

50. Сообщение от PnD (??), 13-Окт-21, 13:19   +1 +/
Я бы рассматривал сам факт поиска CVE как доказательство признания (и достаточно широкого распространения) продукта.

То что переусложнённый комбайн с интерпретатором ЯП на борту будет нашпигован CVE как сервелат жиром, немного предсказуемо. Но теперь пен-тестеры (или кто там ковырялся) признают продукт достойным потраченного времени. Наряду с поделием от M$. Вот это, я считаю, успех (безо всякого сарказма).

Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от kissmyass (?), 13-Окт-21, 16:29   +/
> под видом не связанных с безопасностью ошибок

это неправильно я считаю

я могу просто не устанавливать новую версию зная что в этом нет необходимости

Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от макпыф (ok), 13-Окт-21, 18:58   +/
https://ru.wikipedia.org/wiki/LibreOffice

> Написана на     C++

https://www.openhub.net/p/openoffice/analyses/latest/languag...

java есть, но большая часть C++

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #55

55. Сообщение от Аноним (4), 13-Окт-21, 19:16   +/
Не читай русскую педивикию. Мой совет.

https://en.m.wikipedia.org/wiki/LibreOffice

В целом, такие проекты всегда пишут с применением большого числа инструментов. Там есть и пайтон и перл. Это щас принято взять питон и сервер синапс полностью написать. А у меня неделю опять он глючит. Питоняши.

Ну а про джаву в попен офисах мои выдержки выше как прокоментируете?
Скандал был от того, что на джаве незначительная часть или как?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #57

56. Сообщение от Аноним (4), 13-Окт-21, 19:19   +/
Вот этому анониму спасибо за наметку по поводу графического тулкита. Копнул, там действительно пилили это некрасивое свое, когда еще санкам оно принадлежало. Боялись лицензий, потому изобретали лисапед.

Но кто знает, подскажиье плиз, почему имея свой тулкит оно тащит за собой гтк?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

57. Сообщение от макпыф (ok), 13-Окт-21, 19:26   +/
да,  в LO джава есть но это опциональная зависимость (там вроде какие то не то плагины не то апи, точно не помню)

В OO большая часть на плюсах вроде, хотя я его исхи никогда не видел, использую LO

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #58

58. Сообщение от Аноним (4), 13-Окт-21, 20:35   +/
Ну сами посудите, по Вашей же ссылке там больше 800к строчек кода на жаве. Как оно может быть опционально?

Я не утверждал, что все эти офисы на чистой жабе. Это исесн не так. Но она там есть и судя по скандалам, которые копипастил выше, занимает не последнее место.

Кстати, мож Вы подскажете, почему они имея свой графический тулкит тянут за собой гтк?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #60, #61

59. Сообщение от биллибой (?), 14-Окт-21, 12:15   +/
полностью и даже удобнее
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

60. Сообщение от макпыф (ok), 14-Окт-21, 14:08   +/
> Ну сами посудите, по Вашей же ссылке там больше 800к строчек кода
> на жаве.

Судя по моей ссылке 500k строк в OO, а опциональна она в LO

> Я не утверждал, что все эти офисы на чистой жабе. Это исесн
> не так.

Вы утверждали:

> Насколько помню на джаве

В ответ на

> Как будто, LibreOffice не на C++.

То есть что либра не на плюсах, а на джаве что уж точно не верно. Да и в отношение OO тоже т.к. на плюсах большая часть

> Кстати, мож Вы подскажете, почему они имея свой графический тулкит тянут за
> собой гтк?

https://ask.libreoffice.org/t/which-gui-toolkit-is-used-by-l...

Как я понял их тулкит работает поверх gtk или qt


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #62, #64

61. Сообщение от макпыф (ok), 14-Окт-21, 18:37   +/
По поводу явы, в дополнение к выше сказанному - опция на ее отключение + описание из blfs

--without-java: This switch disables Java support in LibreOffice. Java is needed for the deprecated HSQLDB driver, which allows reading databases created by other programs or in earlier versions of libreoffice base.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #63

62. Сообщение от Аноним (4), 15-Окт-21, 00:08   +/
>Судя по моей ссылке 500k строк в OO, а опциональна она в LO

Странно. Тотал лайнс я вижу 800.
Думаете либры настолько перелопатили архитектуру? Очень сомневаюсь.

>Вы утверждали:
> Насколько помню на джаве

В ответ на
> Как будто, LibreOffice не на C++.

Читайте дальше. Я утвержал, что такие масштабные проккты пишутся с использованием множества яп, как инструментов. Там даже перл есть. Не то что питоняшт с матриксом.

>То есть что либра не на плюсах, а на джаве что уж точно не верно. Да и в отношение OO тоже т.к. на плюсах большая часть

Опять же смотря как считать. Если сравнить варианты даже хелловорд на джаве и сях, Вы поймете, что в боевом проекте на строку кода на джаве прихрдится в лучшем случае 3 строки кода на си. Патамушта нет вирт машины и все надо своей головой. Потому 800тыс смело умножайте на 3 минимум.

Вот так будет более верно.

>Как я понял их тулкит работает поверх gtk или qt

За линк сенкую! Почитаю. Если так, то это ппц конечно.
Вообще эти проекты рефакторить бы конечно уже пора.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

63. Сообщение от Аноним (4), 15-Окт-21, 00:10   +/
Вы не путайте экосистему кода софта и отключение внешней инфраструктуры джавы. Это не одно и тоже!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

64. Сообщение от Аноним (4), 15-Окт-21, 00:17   +/
Во имя великой справедливости дополню себя:

https://www.openhub.net/p/libreoffice/analyses/latest/langua...

Таки либерторианцы почти в двое жабу придушили. Молодцы!
Таки они более Ъ, чем попеновцы!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру