The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагивающей и LibreOffice

04.05.2021 23:16

После трёх месяцев разработки и семи лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.10, в котором предложено 2 исправления. Готовые пакеты подготовлены для Linux, Windows и macOS.

В выпуске устранена уязвимость (CVE-2021-30245), позволяющая выполнить произвольный код в системе при клике на специально оформленную ссылку в документе. Уязвимость вызвана ошибкой при обработке гипертекстовых ссылок, в которых используется протоколы, отличные от "http://" и "https://", такие как "smb://" и "dav://".

Например, атакующий может разместить исполняемый файл на своём SMB-сервере и вставить в документ ссылку на этот файл. При клике пользователя на данной ссылке, указанный исполняемый файл без предупреждения будет выполнен. Возможность совершения атаки продемонстрирована в Windows и Xubuntu. Для защиты в OpenOffice 4.1.10 добавлен дополнительный диалог, требующий от пользователя подтверждения операции при переходе по ссылке в документе.

Выявившие проблему исследователи отметили, что проблеме подвержен не только Apache OpenOffice, но и LibreOffice (CVE-2021-25631). Для LibreOffice исправление доступно в виде патча, вошедшего в состав выпусков LibreOffice 7.0.5 и 7.1.2, но устраняющего проблему только на платформе Windows (обновлён список запрещённых расширений файлов). Исправление для Linux разработчики LibreOffice отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окружений. Кроме офисных пакетов OpenOffice и LibreOffice аналогичная проблема также выявлена в Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark и Mumble.



  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Выпуск Apache OpenOffice 4.1.9 с исправлением неаккуратного использования "rm -rf"
  3. OpenNews: Выпуск офисного пакета Apache OpenOffice 4.1.8
  4. OpenNews: Уязвимость в LibreOffice, позволяющая выполнить код при открытии вредоносных документов
  5. OpenNews: Уязвимость в Libreoffice и Openoffice, позволяющая выполнить код при открытии документа
  6. OpenNews: Три уязвимости в Apache OpenOffice
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55081-openoffice
Ключевые слова: openoffice, libreoffice
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (49) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:23, 04/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    >для Linux разработчики LibreOffice отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственности

    Лол

     
     
  • 2.16, Аноним (16), 07:47, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Старший из отдела АНБ не разрешает убрать бэкдор.
     
     
  • 3.17, Прохожий (??), 08:01, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Иной раз все-таки стоит думать головой прежнее, чем ляпать подобные глупости. Компьютеров под Windows гораздо больше, чем под Linux. Поэтому логичнее было бы оставить уязвимость под этой ОС.
     
     
  • 4.18, Прохожий (??), 08:03, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    прежнее -> прежде
     
  • 4.31, Аноним (31), 12:35, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно логично оставить маленькую резервацию для уязвимостей где они могут спокойно существовать и никому не вредить =)
     
  • 4.35, X86 (ok), 13:54, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В Windows свои от Microsoft есть, поэтому там как раз им не нужно. А вот в Linux оставить потайную дверь вполне логично.
     
     
  • 5.37, Прохожий (??), 14:37, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > В Windows свои от Microsoft есть, поэтому там как раз им не
    > нужно. А вот в Linux оставить потайную дверь вполне логично.

    Типа в Линуксе своих нет. Вспоминается недавний эксперимент вот того, теперь уже забаненого университета, который бэкдоры в ядро прямо слал, и они проходили, как ни странно, всю цензуру.

     
  • 3.30, Адмирал Майкл Роджерс (?), 12:03, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Считаю необходимым заметить, что Агентство Национальной Безопасности США придерживается гибкой политики в вопросах взаимодействия с разработчиками программного обеспечения.
     
     
  • 4.36, Прохожий (??), 14:35, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Считаю необходимым заметить, что Агентство Национальной Безопасности США придерживается
    > гибкой политики в вопросах взаимодействия с разработчиками программного обеспечения.

    Неуж-то представитель АНБ решил на ОпенНет-е объявиться? Чудеса...

     
  • 3.52, Аноним (52), 17:49, 12/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > мотивируя своё решение тем, что проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окружений.

    Старший над АНБ запрещает OS которые исполняют всякую дрянь:

    2.1.3.1.1 System Architecture
    The TCB shall maintain a domain for its own execution protects it from external interference or tampering (e.g., by modification of its code or data strucutres). Resources controlled by the TCB may be a defined subset of the subjects and objects in the ADP system.

     
  • 2.22, llolik (ok), 10:46, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не совсем понял, а в чём лол-то? Вся суть патча AOO -вот


    // We consider some protocols unsafe
    sal_Bool bUnsafeProtocol;
    switch (aINetProtocol) {
        case INET_PROT_HTTP:
        case INET_PROT_HTTPS:
            bSafeExtension = true; // trust the browser to prevent unsafe extensions
        // case INET_PROT_FTP:
        case INET_PROT_VND_SUN_STAR_HELP:
        case INET_PROT_MAILTO:
            bUnsafeProtocol = false;
            break;
        default: // Anything else, including INET_PROT_FILE
            bUnsafeProtocol = true;
            break;
        }
        if ( (!bIsDir && !bSafeExtension) || bUnsafeProtocol )
        {
            /* и дальше показать WarningBox */


    остальное - правка комментов с немецкого на английский и прочая мелочь.

    LO, наколько я помню (возможно неправильно в код лезть лень), на linux использет gvfs при открытии ссылок на smb/webdav и вот это всё. Это Винда запускает файлы "по расширению" и, следовательно, достаточно забанить опасные и файл не запустится. Linux на расширение не смотрит и поэтом данный метод не подойдёт и нужно выдумывать какой-то другой. Но т.к. LO использует в данном случае возможности окружения/DE, то, наверное, авторы этого окружения/DE и должны придумывать механизм разграничения - что можно удалённо запускать, а что нельзя. Так что авторы LO, в общем-то, правильно всё сказали.

     
     
  • 3.28, InuYasha (??), 11:57, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нужно ещё разобраться, какой механизм в ДЕ с этим работает. А то может оказаться, что туда пихать вывод диалогов тоже плохая идея, если это API в т.ч. для неинтерактивных обращений.
     
     
  • 4.34, llolik (ok), 12:51, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >  Нужно ещё разобраться, какой механизм в ДЕ с этим работает

    Ну опять же не команда LO должна заниматься доработками GVFS/GIO. Могут, в приципе, также "запатчить" как и AOO - выводить предупреждение. Ну и толку с того патча, только пользователя раздражает.

     
  • 2.40, Аноним (40), 16:07, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А чем пользуется дядька Cтолман?
     
     
  • 3.48, maximnik0 (?), 00:30, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >А чем пользуется дядька Cтолман?

    Emacs, классику знать надо. :-)

     

  • 1.2, anonymous (??), 23:25, 04/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Исправление для Linux разработчики LibreOffice отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окружений

    О, а я знаю как. В генту специальный конфигурационный файл, называется package.mask

     
     
  • 2.12, Аноним (12), 05:34, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    короче все переходим на генту
     
     
  • 3.19, ryoken (ok), 08:14, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мечта идиота :). Хоть советоваться будет с кем :), кроме гугла.
     

  • 1.3, Аноним (3), 23:26, 04/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Исправление для Linux разработчики LibreOffice отказались включать

    Ну да, ну да, зачем на серверах запускать маргинальный офисный пакет

     
     
  • 2.20, макпыф (ok), 09:52, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а сервера тут причем?
     
     
  • 3.44, Аноним (44), 22:59, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Линукс же
     
  • 2.45, Arioch (??), 23:41, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну да, ну да, зачем на серверах запускать маргинальный офисный пакет

    ну например XWiki.org использовала OpenOffice в режиме http-управляемого сервера для экспорта страничек в разные "офисные" форматы

     
     
  • 3.49, Аноним (44), 01:56, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вряд ли они таким образом ссылки бы открывали :)
     

  • 1.4, Аноним (4), 23:28, 04/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вопрос первый: а что, скачивание по smb даёт бинарю на локалке атрибут +x?!
     
     
  • 2.6, Аноним (6), 23:32, 04/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Разве не даёт? Это ж вроде основное и единственное применение для самбы -- бинари с шары пускать.
     

  • 1.5, Аноним (5), 23:32, 04/05/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • +2 +/
     
     
  • 2.7, Аноним (6), 23:34, 04/05/2021 Скрыто модератором
  • +/
     
     
  • 3.8, Аноним (6), 23:35, 04/05/2021 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (2)

  • 1.9, Аноним (4), 01:36, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > разработчики LibreOffice ... проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окружений

    Всё правильно. Если чел не освоил smb.conf, ему рано открывать левые доки и кликать по левым ссылкам.

     
     
  • 2.10, Аноним (10), 01:43, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ему рано пользоваться LO.
     
     
  • 3.23, Аноним (23), 10:50, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так тогда будет пользоваться Windows, тем самым будит кормить армию коперастов
     
     
  • 4.27, Аноним (10), 11:39, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чел может юзать AOO.
     
  • 4.38, Аноним (40), 16:02, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хм... А кто кормит армию свободных раздолбаев?
     

  • 1.11, СеменСеменыч777 (?), 05:11, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > проблема лежит не в их зоне ответственности и должна быть
    > устранена на стороне дистрибутивов/пользовательских окружений

    A TO !
    устранять будем так:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBIOS]
    "Start"=dword:00000004

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT]
    "Start"=dword:00000004

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bowser]
    "Start"=dword:00000004

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb]
    "Start"=dword:00000004

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10]
    "Start"=dword:00000004

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb20]
    "Start"=dword:00000004

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Smb]
    "Start"=dword:00000004

    и перезагрузка.

     
     
  • 2.13, Ананимас123 (?), 06:29, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В лину.псе появился реестр? Ну слава Поттеренгу, наконец-то!
     
     
  • 3.15, Аноним (15), 07:24, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то реестр пришел в Windows именно из Unix-а.
     
     
  • 4.41, Аноним (41), 17:24, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А подробнее можно?
     
     
  • 5.46, Arioch (??), 23:42, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А подробнее можно?

    сбежал

     
  • 2.14, Леголас (ok), 07:14, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну вы и палитесь, Семён Семёныч 777!

    > и перезагрузка

    прям типичная шindoшs

     
     
  • 3.25, commiethebeastie (ok), 11:34, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это же аналог systemctl disable, который тоже без stop не остановит приложение.
     
  • 3.33, СеменСеменыч777 (?), 12:49, 05/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ну вы и палитесь, Семён Семёныч 777!

    в упор не вижу палева. я занимаюсь в т.ч. win-*ix interoperability на низком уровне, на всех 3.5 локалхостах. так что могу себе позволить.

     

  • 1.21, Аноним (21), 09:59, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственности

    И вот это "нас рать" лезущее отовсюду - основная проблема современного LO. Да и вообще в опенсорсе что-то часто всплывать стала. Главное господам программистам - не переработать за корпоративные денежки. А на юзера плевать, ибо кто это вообще?

     
  • 1.24, Аноним (23), 10:51, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    OpenOffice в отличии от LibreOffice против Столлмана не голосовал!
     
  • 1.26, я (?), 11:38, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    у ОпенОфиса есть огромный плюс - он заморозился, поэтому для "долгоиграющих" файлов, где работа будет идти несколько лет, он замечательно подходит - ничего не отвалится даже при переезде на другой дистр...
    ну и легче он... да...
    а либра хорошо открывает файлы из почты... вот только теперь... ой...
     
  • 1.29, YetAnotherOnanym (ok), 11:59, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Кроме офисных пакетов OpenOffice и LibreOffice аналогичная проблема также выявлена в Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark и Mumble

    Гыыы... Сделали мой день.
    Особый привет младоадминам на Wireshark'е от застрявшего на tcpdump&windump луддита-старпёра.

     
  • 1.32, Аноним (31), 12:37, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Исполняются и скриптовые языки без предупреждения? Так-то на шары обычно noexec ставят
     
  • 1.42, Аноним (42), 18:24, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Господа эксперты, может кто подсказать что за режим графического окружения у автора видео ролика. По виду Xfce, но будто работает в тайловом режиме, Xfce умеет такое, или просто установлен тайловый WM вместо Xfwm?
     
  • 1.43, Алекс (??), 18:27, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это в апаче наверное такое наказание: плохо пишешь код, посадим за опенофис.
     
  • 1.47, Аноним (47), 23:46, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот вам и "неразвивающиеся продукты апача". :D
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру