The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи"  +/
Сообщение от opennews (ok), 12-Окт-21, 13:57 
Раскрыты сведения о трёх уязвимостях в офисных пакетах LibreOffice и Apache OpenOffice, позволяющих атакующим подготовить документы,  выглядящие как подписанные заслуживающим доверия источником, или изменить дату уже подписанного документа. Проблемы были устранены в выпусках Apache OpenOffice 4.1.11 и LibreOffice 7.0.6/7.1.2 под видом не связанных с безопасностью ошибок (выпуски LibreOffice 7.0.6 и 7.1.2 опубликованы в начале мая, но сведения об уязвимости раскрыты только сейчас)...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=55953

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  –17 +/
Сообщение от QwertyReg (ok), 12-Окт-21, 13:57 
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  +/
Сообщение от anonymizeremail (?), 12-Окт-21, 14:11 
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  +2 +/
Сообщение от Alladin (?), 12-Окт-21, 14:20 
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

7. Скрыто модератором  +/
Сообщение от Аноним (7), 12-Окт-21, 14:21 
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

10. Скрыто модератором  +/
Сообщение от Аноним (10), 12-Окт-21, 14:35 
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 12-Окт-21, 14:20 
Да что мс офис, что эти...одна широкая дырень.

Кстати каллигра вот радует. В щит парадах не мелькает. Вот что значит кьютик и кресты:)

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (7), 12-Окт-21, 14:22 
> каллигра вот радует

Не радует.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 12-Окт-21, 14:37 
Меня не радует только интеграцией наметившейся с линуксмс зондами. Думал, что при переходе на фреймворк полегчает. В остальном там как-то стабильнее, чем у этих гткшных.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 12-Окт-21, 14:54 
Ну звиняй. Я не планктонье. Под мои задачи открыть и полистать то, что наваял планктон, самое оно.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (19), 12-Окт-21, 14:55 
А тебе что такого прям оригинального от него требуется? Обычный офисный пакет, на любителя
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

11. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +2 +/
Сообщение от ryoken (ok), 12-Окт-21, 14:36 
Ей наверное не особо интересуются, вот и не пишут о дырах.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

15. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 12-Окт-21, 14:41 
А линукса много очень стало, что аж мс по дырам догоняет?
А питон не так популярен, как пых, поэтому в нем дыр меньше?)
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +1 +/
Сообщение от Anonymous XE (?), 12-Окт-21, 14:38 
Как будто, LibreOffice не на C++.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

16. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  –4 +/
Сообщение от Аноним (4), 12-Окт-21, 14:42 
Насколько помню на джаве и гуй без ооп:)
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +1 +/
Сообщение от териванов (?), 12-Окт-21, 15:58 
Беги к доктору скорее, только напиши самому себе напоминалку куда бежишь и зачем.
А то можешь по дороге забыть.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  –2 +/
Сообщение от Аноним (4), 12-Окт-21, 16:20 
Обоснуй. Или ты щас начнешь вещать на чем жвм?
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (44), 13-Окт-21, 01:16 
Дорогой коллега аноним. Спешу развеять ваше заблуждение: далеко не всё, что выглядт как говно, автоматически является написанным на джаве. Есть множество других страшенных, как моя жизнь, тулкитов! один из которых (VCL они его вроде называют) используется в опен/либре офисах по умолчанию.

Вообще про ОО/ЛО на джаве это какой-то очень старинный миф из-за какого-то прилепленного там сбоку плагина на ней, но все программы на самом деле там написаны вполне себе на плюсах, запустить cloc в исходниках оставим как домашнее задание.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

45. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 13-Окт-21, 01:50 
Стоп. Как говно для меня выглядит гтк. Ну это можно списать на вкусовщину.

Но что касаемо мифов:

Although originally written in C++, OpenOffice.org became increasingly reliant on the Java Runtime Environment, even including a bundled JVM.[108] OpenOffice.org was criticized by the Free Software Foundation for its increasing dependency on Java, which was not free software.[109]

The issue came to the fore in May 2005, when Richard Stallman appeared to call for a fork of the application in a posting on the Free Software Foundation website.[109] OpenOffice.org adopted a development guideline that future versions of OpenOffice.org would run on free implementations of Java and fixed the issues which previously prevented OpenOffice.org 2.0 from using free-software Java implementations.[110]

On 13 November 2006, Sun committed to releasing Java under the GNU General Public License[111] and had released a free software Java, OpenJDK, by May 2007.

Сорр и что педивикию привел в качестве аргумента, но искать более серьезные источники среди ночи лениво. Али таки врут и все мифы? И весь сыр-бор из-за с боку прилепленного плагина?

Будь оно на плюсах пьюре  работало бы пошустрей без ощутимого гц)

>запустить cloc в исходниках оставим как домашнее задание.

Даже прикасаться к этому не хочу. Даже в перчатках.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 13-Окт-21, 19:19 
Вот этому анониму спасибо за наметку по поводу графического тулкита. Копнул, там действительно пилили это некрасивое свое, когда еще санкам оно принадлежало. Боялись лицензий, потому изобретали лисапед.

Но кто знает, подскажиье плиз, почему имея свой тулкит оно тащит за собой гтк?

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

54. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от макпыф (ok), 13-Окт-21, 18:58 
https://ru.wikipedia.org/wiki/LibreOffice

> Написана на     C++

https://www.openhub.net/p/openoffice/analyses/latest/languag...

java есть, но большая часть C++

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

55. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 13-Окт-21, 19:16 
Не читай русскую педивикию. Мой совет.

https://en.m.wikipedia.org/wiki/LibreOffice

В целом, такие проекты всегда пишут с применением большого числа инструментов. Там есть и пайтон и перл. Это щас принято взять питон и сервер синапс полностью написать. А у меня неделю опять он глючит. Питоняши.

Ну а про джаву в попен офисах мои выдержки выше как прокоментируете?
Скандал был от того, что на джаве незначительная часть или как?

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от макпыф (ok), 13-Окт-21, 19:26 
да,  в LO джава есть но это опциональная зависимость (там вроде какие то не то плагины не то апи, точно не помню)

В OO большая часть на плюсах вроде, хотя я его исхи никогда не видел, использую LO

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 13-Окт-21, 20:35 
Ну сами посудите, по Вашей же ссылке там больше 800к строчек кода на жаве. Как оно может быть опционально?

Я не утверждал, что все эти офисы на чистой жабе. Это исесн не так. Но она там есть и судя по скандалам, которые копипастил выше, занимает не последнее место.

Кстати, мож Вы подскажете, почему они имея свой графический тулкит тянут за собой гтк?

Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от макпыф (ok), 14-Окт-21, 14:08 
> Ну сами посудите, по Вашей же ссылке там больше 800к строчек кода
> на жаве.

Судя по моей ссылке 500k строк в OO, а опциональна она в LO

> Я не утверждал, что все эти офисы на чистой жабе. Это исесн
> не так.

Вы утверждали:

> Насколько помню на джаве

В ответ на

> Как будто, LibreOffice не на C++.

То есть что либра не на плюсах, а на джаве что уж точно не верно. Да и в отношение OO тоже т.к. на плюсах большая часть

> Кстати, мож Вы подскажете, почему они имея свой графический тулкит тянут за
> собой гтк?

https://ask.libreoffice.org/t/which-gui-toolkit-is-used-by-l...

Как я понял их тулкит работает поверх gtk или qt


Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 15-Окт-21, 00:08 
>Судя по моей ссылке 500k строк в OO, а опциональна она в LO

Странно. Тотал лайнс я вижу 800.
Думаете либры настолько перелопатили архитектуру? Очень сомневаюсь.

>Вы утверждали:
> Насколько помню на джаве

В ответ на
> Как будто, LibreOffice не на C++.

Читайте дальше. Я утвержал, что такие масштабные проккты пишутся с использованием множества яп, как инструментов. Там даже перл есть. Не то что питоняшт с матриксом.

>То есть что либра не на плюсах, а на джаве что уж точно не верно. Да и в отношение OO тоже т.к. на плюсах большая часть

Опять же смотря как считать. Если сравнить варианты даже хелловорд на джаве и сях, Вы поймете, что в боевом проекте на строку кода на джаве прихрдится в лучшем случае 3 строки кода на си. Патамушта нет вирт машины и все надо своей головой. Потому 800тыс смело умножайте на 3 минимум.

Вот так будет более верно.

>Как я понял их тулкит работает поверх gtk или qt

За линк сенкую! Почитаю. Если так, то это ппц конечно.
Вообще эти проекты рефакторить бы конечно уже пора.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 15-Окт-21, 00:17 
Во имя великой справедливости дополню себя:

https://www.openhub.net/p/libreoffice/analyses/latest/langua...

Таки либерторианцы почти в двое жабу придушили. Молодцы!
Таки они более Ъ, чем попеновцы!

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

61. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от макпыф (ok), 14-Окт-21, 18:37 
По поводу явы, в дополнение к выше сказанному - опция на ее отключение + описание из blfs

--without-java: This switch disables Java support in LibreOffice. Java is needed for the deprecated HSQLDB driver, which allows reading databases created by other programs or in earlier versions of libreoffice base.

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

63. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 15-Окт-21, 00:10 
Вы не путайте экосистему кода софта и отключение внешней инфраструктуры джавы. Это не одно и тоже!
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от kusb (?), 12-Окт-21, 14:57 
Остаётся порадоваться за них. Это точно не эффект неуловимого Джо?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

22. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 12-Окт-21, 15:05 
Эффект не эффект, а чем меньше в темных закоулках у васянов сплоитов, тем лучше!
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (27), 12-Окт-21, 16:34 
Заменяет МС Офис полностью по возможностям?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

28. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (4), 12-Окт-21, 16:38 
Для моих задач да. А для задач планктона не заменяют и либре/попены. Сэд бат труъ.
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (43), 13-Окт-21, 00:21 
Когда пользовался по работе  - нет. Только freeoffice. Сейчас не знаю
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

59. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от биллибой (?), 14-Окт-21, 12:15 
полностью и даже удобнее
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

23. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  –1 +/
Сообщение от Аноним (23), 12-Окт-21, 15:26 
В LibreOffice 7.2.x значит небыло уязвимостей?
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (37), 12-Окт-21, 20:29 
Нет. Новый ЛО - новые уязвимости.
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Аноним (40), 12-Окт-21, 21:12 
>изменить дату уже подписанного документа

Не баг а фича.

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от Маняним (?), 12-Окт-21, 22:36 
Вот жеж, вроде и рукопашного управления памятью нет и рау-поинтеров нет как в ненавистных сях и плюсах, а баги те же самые. Может это потому что пейсатели софта головожопые моллюски, а не языки и технологии плохие. Ни расты, ни защищённое управление памятью не поможет рукожопам, коих за последние двадцать лет развелось как у барбоски блох.
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от бармен (?), 12-Окт-21, 22:56 
500грамм благородного напитка этому регистранту.
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +1 +/
Сообщение от PnD (??), 13-Окт-21, 13:19 
Я бы рассматривал сам факт поиска CVE как доказательство признания (и достаточно широкого распространения) продукта.

То что переусложнённый комбайн с интерпретатором ЯП на борту будет нашпигован CVE как сервелат жиром, немного предсказуемо. Но теперь пен-тестеры (или кто там ковырялся) признают продукт достойным потраченного времени. Наряду с поделием от M$. Вот это, я считаю, успех (безо всякого сарказма).

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в LibreOffice и Apache OpenOffice, позволяющие об..."  +/
Сообщение от kissmyass (?), 13-Окт-21, 16:29 
> под видом не связанных с безопасностью ошибок

это неправильно я считаю

я могу просто не устанавливать новую версию зная что в этом нет необходимости

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру