The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Четыре уязвимости в Apache OpenOffice

29.12.2023 08:45

В недавно представленном выпуске офисного пакета Apache OpenOffice 4.1.15 без лишней огласки (информация раскрыта через несколько дней после релиза и изначально сведения об уязвимостях не упоминались в списке изменений) устранены четыре уязвимости:

  • Уязвимость CVE-2023-1183 позволяет записать данные в произвольный файл в системе, насколько это позволяют права доступа, при открытии специально оформленных файлов OBD (Office Binder Document) в OpenOffice Base. Атака осуществляется через добавление в документ файла "database/script" с командной SCRIPT, содержимое которого записывается в новый файл, путь к которому может быть задан атакующим.
  • Уязвимость CVE-2012-5639 позволяет автоматически загрузить и открыть внутренние или внешние ресурсы без вывода предупреждения пользователю. Уязвимость была выявлена в LibreOffice в 2012 году, но сообщение о проблеме было закрыто как некорректное. Тем не менее уязвимость была устранена в LibreOffice 4.2 в 2014 году, но была не замечена в OpenOffice.
  • Уязвимость CVE-2022-43680, потенциально позволяет добиться выполнения своего кода при открытии специально оформленных документов в ситуации нехватки памяти для их обработки. Уязвимость приводит к обращению к памяти после её освобождения (Use after free) из-за ошибки в библиотеке libexpat, применяемой для разбора данных в формате XML. Проблема устранена в libexpat 2.4.9.
  • Уязвимость CVE-2023-47804 позволяет разместить в документе ссылку, вызывающую макрос с произвольными аргументами, и добиться выполнения своего скрипта при нажатии пользователем на эту ссылку или при автоматическом срабатывании связанных с документом событий без предварительного подтверждения операции. Уязвимость определяет новый вектор атаки для проблемы CVE-2022-47502, исправленной в OpenOffice 4.1.14.


  1. Главная ссылка к новости (https://www.openoffice.org/sec...)
  2. OpenNews: Уязвимости в Apache OpenOffice
  3. OpenNews: Уязвимости в LibreOffice и Apache OpenOffice, позволяющие обойти проверку цифровой подписи
  4. OpenNews: Уязвимость в OpenOffice, позволяющая выполнить код при открытии файла
  5. OpenNews: Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагивающей и LibreOffice
  6. OpenNews: Уязвимость в Libreoffice и Openoffice, позволяющая выполнить код при открытии документа
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60361-openoffice
Ключевые слова: openoffice
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:23, 29/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вот такова суть "развития" Open Office под руководством Apache - функциональные изменения в мизерном количестве, да и те только лишь для прикрытия латания дыр.
     
     
  • 2.2, я (?), 10:05, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И при чём же здесь, интересно, "руководство Apache"?
     
     
  • 3.4, Аноним (4), 10:30, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так а кто все креветки съел?
     
     
  • 4.5, Аноним (5), 10:36, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну под Oracle конечно лучше было?
     
     
  • 5.45, Аноним (-), 07:47, 30/12/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.7, Аноним (7), 10:38, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Сразу видно, грамотный продукт, готовый для промышленного применения. Не удивительно, что пользуется таким спросом, когда лбропомойка с её глупыми багами никому не интересна.
     
  • 2.8, ИмяХ (ok), 10:42, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А зачем ему какие-то изменения и развития? Он уже развит и полностью доделан.
     
     
  • 3.25, Аноним (25), 13:29, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А зачем ему какие-то изменения и развития? Он уже развит и полностью доделан.

    Шутишь? Он уже много лет как мертв, в то время как LibreOffice развивается семимильными шагами: поддержка форматов (как ODT, так и MS Office), количество новых фич, багфиксов...

     
     
  • 4.31, нах. (?), 16:06, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    точна! А до того как они свой форк придумали - он ни одт, ни форматы офиса не поддерживал.

     
     
  • 5.32, Аноним (25), 16:39, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А до того как они свой форк придумали - он ни одт, ни форматы офиса не поддерживал.

    Речь о том, что в LibreOffice эту поддержку эту постоянно улучшают, а в сабже она так и застыла 15 лет назад.

     
     
  • 6.34, X86 (ok), 19:51, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    OO достаточно форкнуть поддержку ooxml из либры и могут еще на 15 лет остановиться)
     
     
  • 7.62, К.О. (?), 03:19, 03/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > OO достаточно форкнуть поддержку ooxml из либры

    Только они не могут.

    Поэтому хорошо что у них есть кто-то, кто хотя бы критические баги пока может закрывать.

     

  • 1.3, Аноним (3), 10:23, 29/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Хорошо, что еще не успел собрать.
    Сейчас перекачаю исходники.
     
     
  • 2.6, Аноним (5), 10:37, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты на полном серьёзе собираешь из исходников?
     
     
  • 3.9, vantoo (ok), 10:58, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Он серьезно собирает OpenOffice?
     
     
  • 4.11, Аноним (5), 10:59, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю, думаешь собирает? Гентушник, Арчишник?
     
     
  • 5.14, Аноним (14), 11:20, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Лфсник.
     
     
  • 6.15, Аноним (5), 11:21, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, не таких не бывает, это фантастика.
     

  • 1.10, Аноним (5), 10:58, 29/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Повторю свой вопрос: какие свободные офисные пакеты известны вам?
    Мне известны:
    Apache OpenOffice
    Ascensio System SIA Onlyoffice
    KDE Calligra Suite
    Star Division LibreOffice
    Что ещё забыл?
    Онлайн не предлагать.
     
     
  • 2.12, нах. (?), 11:08, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    но как же ж ты мог забыть аналогвнеимеющий импортозамещенный онлиофис?!

    (он может быть и не онлайн, если ты не в курсе)

     
     
  • 3.13, Аноним (5), 11:17, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты про Ascensio System SIA Onlyoffice?
    Из отечественных знаю  МойОфис, Р7-Офис, ООО «ИТВА» RusWord,  RusExel, Windows Paint.
    Р7-Офис соотносится с Onlyoffice?
     
     
  • 4.17, нах. (?), 11:45, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >  Р7-Офис соотносится с Onlyoffice?

    то же самое но со штампом "одобрено!" от товарищмайора.


      

     
     
  • 5.57, Аноним (57), 17:17, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну что тебе товариo майор сделал? Он что твою маманьку обрюхатил, что у ней такой идиот вырос?
     
     
  • 6.65, К.О. (?), 03:28, 03/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Товарищ майор кроме начальства никому ничего хорошего не сделал.
     
  • 4.19, Аноним (19), 12:10, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >МойОфис

    Он точно твой? Я думал, ОфисМайора.

     
     
  • 5.27, нах. (?), 13:54, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    этот как раз - вряд ли. Там капитан. Да и тот выслугой лет взял - врут что сидит там еще с "лексикона".

     
  • 4.35, X86 (ok), 19:53, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ascensio System SIA Onlyoffice?

    Это тоже самое, что и "голландский Яндекс".

     
     
  • 5.59, Аноним (59), 19:32, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А какой он?
     
     
  • 6.66, X86 (ok), 10:18, 04/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А какой он?

    Даже богомерзкая Википедия пишет:

    «Я́ндекс» — российская транснациональная компания в отрасли информационных технологий, чьё головное юридическое лицо зарегистрировано в Нидерландах, владеющая одноимённой системой поиска в интернете, интернет-порталом и веб-службами в нескольких странах. Наиболее заметное положение занимает на рынках России, Белоруссии и Казахстана[5].

    Поисковая система Yandex.ru была официально анонсирована 23 сентября 1997 года и первое время развивалась в рамках компании CompTek International. Как отдельная компания «Яндекс» образовалась в 2000 году.

    CompTek — российская компания, один из дистрибьюторов оборудования, программного обеспечения и решений в области телекоммуникаций. Расположена в Москве. Основана в 1989 году А. Ю. Воложем. Входит в холдинг ЛАНИТ.

     
  • 2.20, Аноним (19), 12:13, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ascensio System CIA Onlyoffice
     
  • 2.22, Аноним (22), 12:53, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ascensio System SIA Onlyoffice

    CIA Onlyoffice?

     
     
  • 3.63, К.О. (?), 03:22, 03/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы. Как раз наоборот.
     
  • 2.26, Аноним (26), 13:52, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно ты забыл гном-офис... правда в нем приличным является только гнумерик
     
     
  • 3.28, Аноним (5), 14:01, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я его не забыл. Я его не рассматриваю как Офисный пакет всерьез.
     
  • 3.36, nox. (?), 22:07, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > в нем приличным является только гнумерик

    Нет. Тестировал его. Непригодный для практического применения продукт.

     
     
  • 4.38, nox. (?), 22:15, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, под macOS версии нет, а в macOS под Homebrew работает весьма неустойчиво, что оказалось сюрпризом.
     
     
  • 5.40, Аноним (3), 23:28, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    винда и макось не нужна, в линуксе работает норм
     
     
  • 6.51, nox. (?), 13:56, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Под Windows готовую сборку можно найти (посталявлась в составе одной из Российских сборок офисных приложений, сейчас убрали). Ставил - работает нормально. Смотрел ради непараметрической статистики, но в данном пакете она реализована неудачно, по моему мнению.
     
  • 3.64, К.О. (?), 03:25, 03/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно ты забыл гном-офис...

    С разморозочкой. Его не существует примерно с 2010 года.

     
  • 2.37, nox. (?), 22:08, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    SoftMaker FreeOffice
     
     
  • 3.41, Аноним (3), 23:29, 29/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    здесь перепись свободных, этот мимо
     
     
  • 4.49, Аноним (49), 11:52, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Так в названии же Free, значит свободный. Между прочим free software > open source software, вот: https://www.gnu.org/philosophy/free-software-for-freedom.en.html
     
     
  • 5.50, Аноним (50), 12:40, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Расскажи что такое опен и что такое фри и в чем между ними разница.
     
     
  • 6.53, nox. (?), 14:00, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Формально он прав. Как раз free - свободный, а open - открытые исходные коды, что формально не означает свободы пакета.
     
     
  • 7.54, Аноним (3), 15:12, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    FreeOffice не свободный и не открытый, а просто бесплатная старая порезанная версия без множества плюшек. Легче либры это плюс... а собственно это по факту единственный плюс...
     
  • 7.55, Аноним (55), 16:24, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не говори глупостей. Free в названии как соотносится с лицензией под которой это ПО выпущено?
     
     
  • 8.67, Аноним (67), 11:47, 08/01/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Никак не соотносится в современном мире Слова в названиях коммерческих продукто... текст свёрнут, показать
     
  • 2.52, nox. (?), 13:58, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Windows Office
     
  • 2.56, Аноним (56), 16:47, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что считать офисным пакетом?
    Тот кто работал с MS Office, нечего из этого офисом не считает.
     
     
  • 3.58, Аноним (59), 19:21, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нейросети научились писать комментарии, до чего дошёл прогресс.
     
     
  • 4.60, Аноним (56), 20:13, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дошколники научились писать комментарии, до чего дошёл прогресс.
     
     
  • 5.61, Аноним (59), 20:43, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Жаль конечно что нейросетям ещё далеко до осознанных сообщений.
     

  • 1.42, Kuromi (ok), 04:40, 30/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Уязвимость CVE-2012-5639 позволяет автоматически загрузить и открыть внутренние или внешние ресурсы без вывода предупреждения пользователю. Уязвимость была выявлена в LibreOffice в 2012 году, но сообщение о проблеме было закрыто как некорректное. Тем не менее уязвимость была устранена в LibreOffice 4.2 в 2014 году, но была не замечена в OpenOffice."

    Ну что там народ обычно пишет про ООо? Какой он стабильный и безбажный в отличие от Либры? А то что уязвимость висела незакрытой 10+ лет как бы неважно?

     
     
  • 2.48, нах. (?), 09:41, 30/12/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну ты же о ней им сразу же сообщил, правда ведь?

    Ан нет - сообщил какой-то васян и не им а конкурирующему проекту. Который быстро-быстро спрятал ее от посторонних глаз. А потом тихонько исправил - у себя, любимого.

    В общем-то все что нужно знать об "авторах" либры и их методах.

     

  • 1.43, Аноним (-), 07:44, 30/12/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > изначально сведения об уязвимостях не упоминались
    > в списке изменений)

    Ответственный подход к безопасности блин. Нехай пользователи потупят, хаксоры как раз по патчам поймут что вулн.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру