The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление LibreOffice с устранением уязвимости, эксплуатируемой через изображения WebP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление LibreOffice с устранением уязвимости, эксплуатируемой через изображения WebP"  +/
Сообщение от opennews (??), 26-Сен-23, 23:42 
Организация The Document Foundation...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59823

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +1 +/
Сообщение от Аноним (1), 26-Сен-23, 23:42 
Подождите, но все обновлялись почти две недели назад
Либра так долго тянула просто с обновлением либы?
Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (4), 27-Сен-23, 00:38 
виндузятники должны страдать

https://packages.debian.org/bookworm/libreoffice-core
libreoffice-core (4:7.4.7-1)
dep: libwebp7 (>= 1.2.4)
Пакет: libwebp7 (1.2.4-0.2+deb12u1) [security]
bookworm (security)    1.2.4-0.2+deb12u1    fixed
13 Sep 2023

Ответить | Правка | Наверх | Cообщить модератору

26. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +3 +/
Сообщение от Аноним (26), 27-Сен-23, 10:31 
В настоящем офисе такого бага не было и чинить нечего.
Ответить | Правка | Наверх | Cообщить модератору

33. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (4), 27-Сен-23, 21:12 
в 97 что ля?
Ответить | Правка | Наверх | Cообщить модератору

11. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +2 +/
Сообщение от Аноним (-), 27-Сен-23, 03:34 
У меня в системе libwebp обновился уже 2 недели назад. Это починило и браузеры, и офисы, и кто там еще эту либу юзал. Или о прелести пакетного менеджмента в линухе :)

А юзеры винды что, будут сидеть как зайцы пока более разумные существа не выкатят апдейченый инсталлер. Они все равно на другое не способны.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

12. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +8 +/
Сообщение от Аноним (12), 27-Сен-23, 04:02 
> А юзеры винды что, будут сидеть как зайцы пока более разумные существа не выкатят апдейченый инсталлер.

Ничего, ничего... Вон, большие дяди активно продвигают Snap с Flatpack - скоро будет и на линуксах счастье.

Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +1 +/
Сообщение от User (??), 27-Сен-23, 06:03 
Атомарно обновляемые дистрибутивы (не путать с Base system freebsd! Эта другое!) забыл - чтоб совсем уж захорошело.
Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +3 +/
Сообщение от Аноним (17), 27-Сен-23, 07:05 
> Ничего, ничего... Вон, большие дяди активно продвигают Snap с Flatpack -
> скоро будет и на линуксах счастье.

Да, сделать маздай при сильном желании можно и из линуха если постараться. Но у меня этого всего не будет. Потому что маздая я наелся в маздае.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

31. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от pofigist (?), 27-Сен-23, 14:39 
На фряху свалишь разве что...
Ответить | Правка | Наверх | Cообщить модератору

34. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  –1 +/
Сообщение от Аноним (-), 27-Сен-23, 21:50 
> На фряху свалишь разве что...

Да мне и на линуксе нормально. Это как раз более-менее работающая система, с поддержкой железа и проч, где не надо рассказывать про виндочки и прочее.

И за энное количество лет я малость научился этих кошек готовить. Поэтому если вы думаете что сможете мне что-то в мою систему без моего согласия напихать - я отвечаю "попробуйте". И посмотрим что у вас получится.

А от ваших BSD мне ничего не надо, отношения master-slave мне не подходят. Особенно в пассивной то роли.

Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +1 +/
Сообщение от penetrator (?), 27-Сен-23, 06:59 
как же флатпаки и сноупоки?
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

18. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (17), 27-Сен-23, 07:06 
> как же флатпаки и сноупоки?

А никак: у меня их нет. Поэтому их проблемы меня не затрагивают.

Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от penetrator (?), 27-Сен-23, 07:10 
>> как же флатпаки и сноупоки?
> А никак: у меня их нет. Поэтому их проблемы меня не затрагивают.

у меня тоже нету, но у других есть

и кстати электрон то есть? не может чтобы ниодного приложения не было

Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (-), 27-Сен-23, 07:54 
>>> как же флатпаки и сноупоки?
>> А никак: у меня их нет. Поэтому их проблемы меня не затрагивают.
> у меня тоже нету, но у других есть

И чего? Вон "другие" вообще на Darwin Awards номинировались шикарными способами. Совершенно не обязывает меня следовать их примерам.

В линухе культурно менеждить ОС и не разводить помойку - можно. В винде - с этим трабл на самом фундаментальном уровне: система не предоставляет программам никаких либ кроме может пары вариантов crt. А даже zlib какой тривиальный - вы уже там сами берите гже хотите. Поэтому его у каждой программы по своей копии. А если его обновить приперло - вот это попадос, способов проверить что они все обновлены вообще нет. И поэтому всегда есть риск что кто-то где-то трахнет эксплойтом не отапдейченую программу. И с этим малореально что-то сделать.

> и кстати электрон то есть? не может чтобы ниодного приложения не было

Да вот - может. Я инсталлирую либо софт из репов дистро, либо то что собираю сам, опять же с использованием системных либ по максимуму. И никакой электрон и софт на нем мне даром не уперся. И между прочим за счет этого мой быстрый комп остается быстрым. А не показывает как можно тормозить хуже чем первопень на железе в сто раз мощнее. Мне от кодеров на электроне ничего не нужно. Но если они хотят меня порадовать - могут сдохнуть, например. Или пойти рассаду выращивать.

Ответить | Правка | Наверх | Cообщить модератору

28. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  –2 +/
Сообщение от Аноним (28), 27-Сен-23, 13:03 
> Я инсталлирую либо софт из репов дистро, либо то что собираю сам, опять же с использованием системных либ по максимуму.

Ааа, краснозенковый конпилятель. Живой пример почему линукс непопулярен на десктопах.
Только непонятно чем ты хвалишься - так-то и в винде можно самому сконпилять софт с обновленной либой, лол (просто ты в виду врождённой природной ограниченности до этой простой мысли не додумался).

> Я инсталлирую либо софт из репов дистро

То есть ждёшь, пока мейнтейнер (какой-то неизвестный полупокер, который даже обычно не создатель программы) сконпиляет под конкретно твой дистриб, а до этого сидишь дырявым (или сам конпиляешь)? Ооо, ну это намного безопаснее, дооооо.

Ответить | Правка | Наверх | Cообщить модератору

35. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (-), 27-Сен-23, 22:06 
> Ааа, краснозенковый конпилятель. Живой пример почему линукс непопулярен на десктопах.

Представляешь, чувак, я не буду жр@ть г@вно даже если ты притащишь миллион свидетелей того как это круто, полезно и необходимо. У меня своя башня на плечах.

А еще у меня нет цели загнать всю планету на линух, или куда там. Если кто по своему выбору придет, осознав бенефиты направления - мы будем к их услугам и покажем как взять лучшее из этих миров. А если кому хотелось винду и как в винде - отлично, пусть и пользуется.

Я только не понимаю чего вы ко мне со всем этим лезете. Я не буду жрать г@вно на электроне. Вообще совсем. И винду я использовать не буду. И "как в винде" в моих системах не будет. Это просто данность. Как хотите так и живите с этим, это не изменится.

> Только непонятно чем ты хвалишься - так-то и в винде можно самому
> сконпилять софт с обновленной либой, лол

Можно. Но...
1) будет в цать раз сложнее и дольше чем в линухе по множеству причин
2) Не сделает систему в целом безопасной потому что перекомпилить вон ту ху^W блобов пачку вы почему-то не сможете - а даже если б и могли, то половину программ с статически влинкованой либой или что там еще вы просто забудете. Этот зоопарк майнтенансу не подлежит.
3) Я не собираюсь устраивать у себя в системах зоопарк не подлежащий майнтенансу с полисями диктуемыми рандомными васянами. Это решение окончательное и бесповоротное, оно не подлежит обсуждению.
4) Видите ли сама винда не модулярная система. Даже на уровне своих компонентов куча траблов такого плана. А я уже познал что это может быть сильно лучше и логичнее, да.

> (просто ты в виду врождённой природной ограниченности до этой простой мысли не додумался).

Вам не приходило в голову что мне от вас вообще ничего не надо? Я к вам не припирался и ничего не просил. Это вы приперлись и почему-то возомнили себе что я "должен" быть как вы, разводить у себя помойку в системе, юзать тормозное спайваре на электроне, или что там еще. Нихрена я вам не должен, бамбук курите.

>> Я инсталлирую либо софт из репов дистро
> То есть ждёшь, пока мейнтейнер (какой-то неизвестный полупокер, который даже обычно не
> создатель программы) сконпиляет под конкретно твой дистриб, а до этого сидишь
> дырявым (или сам конпиляешь)? Ооо, ну это намного безопаснее, дооооо.

Как показала практика - ну вот у меня уже все программы как 2 недели запатчены. Пока вон те неполупокеры 2 недели виндовым тряпочкам сетапер пекли. Вы ж сами не испечете себе сетапер офиса, право?!

Ну и секурити - это тот случай когда я не по паспорту, а по морде. И если у меня 2 недели как все пропатчено а вы тут ноете - вам ли мне лекции давать? Давайте лучше олимпийского чемпиона бегать или там плавать поучите? Или мастеркласс вождения гонщикам F1 преподайте, с вас станется :)

Ответить | Правка | Наверх | Cообщить модератору

43. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от penetrator (?), 01-Окт-23, 10:47 
> И никакой электрон и софт на нем мне даром не
> уперся. И между прочим за счет этого мой быстрый комп остается
> быстрым. А не показывает как можно тормозить хуже чем первопень на
> железе в сто раз мощнее. Мне от кодеров на электроне ничего
> не нужно. Но если они хотят меня порадовать - могут сдохнуть,
> например. Или пойти рассаду выращивать.

давай предположим что тебе нужен дестопный клиент Signal, или аналог, а они все на электроне запилены, что Wire, что Threema, Whatsapp  и тд

ты будешь собирать сам? ну ок так все равно же электрон, и все равно дыра которая в статье описана  

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

24. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от another_one (ok), 27-Сен-23, 08:31 
У снапа вроде общие образы core18, core20 и т.д. разве не в них обновляются системные либы?
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

25. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от пох. (?), 27-Сен-23, 09:05 
> У меня в системе libwebp обновился уже 2 недели назад. Это починило и браузеры, и офисы, и кто там еще эту либу юзал.

ты конечно же проверил каждый из них на предмет отсутствия внутри бандленной версии?

> Или о прелести пакетного менеджмента в линухе :)

причем бы тут - пакетный менеджмент? Ты точно так же можешь обновить любую одиночную библиотеку в каком-нибудь lfs, где нет никаких пакетов. Или в вообще монолитной (нет) freebsd (правда последние лет пять там это немодно и осуждается коллективом грантопилов - но все еще технически возможно)

Чего ты не сможешь - это собрать хромонога распоследней (с миллионом исправленных уязвимостей в основном коде а не 3-d party) версии с этими самыми библиотеками. Потому что он требует наисвежайших, а у тебя, смотри, смотри, либненужноненужноененужно.so - позавчерашняя. А поменять ее ты просто так тоже не можешь - рассыплется какой-нибудь гомощёл, в котором даже вчерашняя еще не поддерживается.

И объяснить обезьянской сборочной системе на очередном модном язычке что вот же она, рядом с той лежит, только чуть в сторонке - уже тоже почти невозможно.

И остается только два подхода - либо включать все зависимости в сборку, либо флэтшлак или шляп.
Результат довольно очевиден.

А других разработчиков, умеющих в совместимость, у меня для вас лет десять уже нет. Они пиццей торгуют и не парятся что мука несовместима с беконом. В конце-концов всегда можно найти других поставщиков ингредиентов.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

38. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (4), 28-Сен-23, 14:19 
>> У меня в системе libwebp обновился уже 2 недели назад. Это починило и браузеры, и офисы, и кто там еще эту либу юзал.
> ты конечно же проверил каждый из них на предмет отсутствия внутри бандленной версии?

конечно, если дистр нормальный, то в репе все будет обновлено и либа и браузеры (где защита либа)...
тебе, если ты ответственный админ или неуловимый джо, надо подписаться на security-tracker.debian.org

Ответить | Правка | Наверх | Cообщить модератору

42. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (42), 29-Сен-23, 12:58 
>рассыплется какой-нибудь гомощёл, в котором даже вчерашняя еще не поддерживается.

Так туда ему и дорога, раз с последней версией зависимости не совместим.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

27. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  –1 +/
Сообщение от Аноним (28), 27-Сен-23, 12:51 
Ты еще скажи, что у тебя приложений на элохтроне нету и что ты не сидишь как заяц и не ждёшь пока более разумные существа (под названием мэйнтейнеры) не выкатят апдейченные пакеты (конкретно под твою васяносборку ненужного-на-десктопе (под названием дистрибутив)).
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

36. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (-), 28-Сен-23, 01:22 
> Ты еще скажи, что у тебя приложений на элохтроне нету и что
> ты не сидишь как заяц и не ждёшь пока более разумные
> существа (под названием мэйнтейнеры) не выкатят апдейченные пакеты (конкретно под твою
> васяносборку ненужного-на-десктопе (под названием дистрибутив)).

Если это была попытка троллить то она какая-то лажовая и бездарная получилась. Дыры то в результате 2 недели не у меня были :)

Ответить | Правка | Наверх | Cообщить модератору

37. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от iPony129412 (?), 28-Сен-23, 03:32 
А гордые дебианщики с вечно дырявым Chromium на что способны?

А в Ubuntu c дырявым Thunderbird?

А в Debian с дырявым VLC, потому что в апстриме не пометили исправление как секурное?

Хотя во всех этих случаях на Windows понятное дело проблемы не было.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

39. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (4), 28-Сен-23, 14:20 
у тебя какой-то видимо альтернативный дебиан.
Ответить | Правка | Наверх | Cообщить модератору

40. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Тот_Самый_Анонимус_ (?), 29-Сен-23, 06:49 
>Они все равно на другое не способны.

Будто бы обновление в линухе — твоя заслуга. Ты просто дешёвый понтарь, вся суть гордости которого в том, что твои «более разумные существа» в данном случае оказались расторопнее.

Гордый заяц, бгг.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

2. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (2), 27-Сен-23, 00:01 
К сожалению, подобные логические ошибки никакой Раст не выловит.
Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +8 +/
Сообщение от Анонин (?), 27-Сен-23, 00:07 
> критическая уязвимость вызвана переполнением буфера в обработчике формата изображений WebP

Ну-ну...

Ответить | Правка | Наверх | Cообщить модератору

22. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (22), 27-Сен-23, 08:29 
Раст то уже существует почему он не пришел на помощь?
Ответить | Правка | Наверх | Cообщить модератору

29. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +2 +/
Сообщение от Аноним (28), 27-Сен-23, 13:10 
Раст от логических ошибок не защитит. Мысли он не читает, собственным разумом не обладает и узнать, что твой алгоритм делает не то, что ты хотел - не может. Как и любой другой ЯП. Ваш кэп.
Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (5), 27-Сен-23, 01:08 
а еще сколько электронщины не обновилось
Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +1 +/
Сообщение от Аноним (6), 27-Сен-23, 01:18 
Так это гуглоиды закладку и сделали. Лучше держаться подальше от их поделок.
Ответить | Правка | Наверх | Cообщить модератору

13. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (12), 27-Сен-23, 04:08 
> Так это гуглоиды закладку и сделали.

Все правильно: настоящий сишник не обделывается - настоящий сишник ставит закладку.

Ответить | Правка | Наверх | Cообщить модератору

15. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  –1 +/
Сообщение от User (??), 27-Сен-23, 06:06 
Под угрозами рептилоидов из rhbm из гулага по заданию АНБ - то есть нивиноватые оне!
Ответить | Правка | Наверх | Cообщить модератору

7. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +3 +/
Сообщение от Аноним (7), 27-Сен-23, 01:34 
Вот что значит - бандловать/статически линковать зависимости вместо использования пакетного менеджера.
Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +2 +/
Сообщение от Аноним (9), 27-Сен-23, 01:46 
> уязвимость вызвана переполнением буфера

Что не уязвимость, то почти всегда "переполнение буфера".

Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Herrasim Muhmuh (?), 27-Сен-23, 02:17 
Ну дела!
Разработка не в состоянии большие буфера сделать!
Доколе???
Ответить | Правка | Наверх | Cообщить модератору

30. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +1 +/
Сообщение от Аноним (30), 27-Сен-23, 13:39 
Буфера это эти самые - (. )( .) ?
Откуда вы знаете, что разработчики не в состоянии? Может как раз с этого все и началось. Сейчас это модно..
Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление LibreOffice с устранением уязвимости, эксплуатиру..."  +/
Сообщение от Аноним (21), 27-Сен-23, 08:22 
С таким подходом MS Office не обгонят.
Ответить | Правка | Наверх | Cообщить модератору

32. Скрыто модератором  +2 +/
Сообщение от C00l_ni66a (ok), 27-Сен-23, 18:24 
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру