The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимости в Apache OpenOffice

25.03.2023 08:45

Раскрыты сведения о двух уязвимостях в офисном пакете Apache OpenOffice. Проблемы были устранены в выпуске Apache OpenOffice 4.1.14 под видом не связанных с безопасностью ошибок (сведения об уязвимости раскрыты спустя месяц после выпуска OpenOffice 4.1.14):

  • CVE-2022-47502 - атакующий может разместить в документе ссылку, вызывающую макрос с произвольными аргументами, и добиться выполнения своего скрипта при нажатии пользователем на эту ссылку или при автоматическом срабатывании связанных с документом событий без предварительного подтверждения операции. Проблеме присвоен критический уровень опасности.
  • CVE-2022-38745 - OpenOffice может быть настроен для добавления пустого пути поиска Java-классов, что может быть использовано для запуска произвольного Java-кода, размещённого в текущем каталоге. Проблеме присвоен умеренный уровень опасности.


  1. Главная ссылка к новости (https://lists.apache.org/threa...)
  2. OpenNews: Уязвимость в LibreOffice, позволяющая выполнить скрипт при работе с документом
  3. OpenNews: Обновление LibreOffice 7.2.4 и 7.1.8 с устранением уязвимости
  4. OpenNews: Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла
  5. OpenNews: Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагивающей и LibreOffice
  6. OpenNews: Выпуск Apache OpenOffice 4.1.14
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58861-apache
Ключевые слова: apache, openoffice
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:49, 25/03/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –4 +/
     

  • 1.2, Анонимно (ok), 08:55, 25/03/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     

  • 1.3, Аноним (3), 09:02, 25/03/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     

     ....ответы скрыты (6)

  • 1.12, Аноним (11), 09:58, 25/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Погодите-ка, а разве весь смысл макросов не вызываться с произвольными аргументами или я что-то пропустил?
     
     
  • 2.13, iPony129412 (?), 10:16, 25/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тут ключевые слова «запуск скрипта без спроса».
     
     
  • 3.14, Аноним (11), 11:21, 25/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Новость забыл прочитать? Он вызывается при нажатии на ссылку. Опять бухой?
     
     
  • 4.16, iPony129412 (?), 11:32, 25/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1) нажатие ссылки не должно выполнять левый скрипт
    2) прочитав новость, я пошёл сразу читать оригинал, и на CVE базу в придачу
    3) на себя смотри, <CENSORED>
     
     
  • 5.20, Аноним (20), 13:07, 25/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нажатие ссылки на веб странице может выполнить любой скрипт, и это уязвимостью не считается. Вопрос скорее в том, кчему имеет доступ этот скрипт. Если ему убрать доступ интернет и к файлам (как минимум за пределами папки, в которой находится документ, то всё будет нормально
     
     
  • 6.21, Аноним (21), 14:49, 25/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > без предварительного подтверждения операции
    > The execution of such links must be subject to user approval.

    Разобрался в твоем вопросе за меньшее количество времени, чем то, которое ты потратил на написание комментов.

     

  • 1.19, ma3x one (?), 13:01, 25/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ждём Backport уязвимостей в LibreOffice
     
     
  • 2.24, Аноним (24), 18:38, 25/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что бакпортить то, если в OpenOffice один патч в месяц идёт?
     

  • 1.25, ivan_erohin (?), 14:20, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > "под видом не связанных с безопасностью ошибок"

    интересно, они одни такие хитрые или кто-то еще практикует такой фокус
    (например linux kernekl team) ?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру