URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 124139
[ Назад ]
Исходное сообщение
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, затрагаивающей и LibreOffice "
Отправлено opennews , 04-Май-21 23:23
После трёх месяцев разработки и семи лет с момента прошлого значительного выпуска сформирован корректирующий релиз офисного пакета Apache OpenOffice 4.1.10, в котором предложено 2 исправления. Готовые пакеты подготовлены для Linux, Windows и macOS...Подробнее: https://www.opennet.me/opennews/art.shtml?num=55081
Содержание
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 23:23 , 04-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 07:47 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Прохожий, 08:01 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Прохожий, 08:03 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 12:35 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,X86, 13:54 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Прохожий, 14:37 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Адмирал Майкл Роджерс, 12:03 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Прохожий, 14:35 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 17:49 , 12-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,llolik, 10:46 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,InuYasha, 11:57 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,llolik, 12:51 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 16:07 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,maximnik0, 00:30 , 06-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,anonymous, 23:25 , 04-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 05:34 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,ryoken, 08:14 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 23:26 , 04-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,макпыф, 09:52 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 22:59 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Arioch, 23:41 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 01:56 , 06-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 23:28 , 04-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 23:32 , 04-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 23:32 , 04-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 23:34 , 04-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 23:35 , 04-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 01:36 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 01:43 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 10:50 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 11:39 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 16:02 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,СеменСеменыч777, 05:11 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Ананимас123, 06:29 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 07:24 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Аноним, 17:24 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Arioch, 23:42 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,Леголас, 07:14 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,commiethebeastie, 11:34 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за...,СеменСеменыч777, 12:49 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з...,Аноним, 09:59 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з...,Аноним, 10:51 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з...,я, 11:38 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з...,YetAnotherOnanym, 11:59 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з...,Аноним, 12:37 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з...,Аноним, 18:24 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з...,Алекс, 18:27 , 05-Май-21
- Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з...,Аноним, 23:46 , 05-Май-21
Сообщения в этом обсуждении
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 04-Май-21 23:23
>для Linux разработчики LibreOffice отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственностиЛол
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 05-Май-21 07:47
Старший из отдела АНБ не разрешает убрать бэкдор.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Прохожий , 05-Май-21 08:01
Иной раз все-таки стоит думать головой прежнее, чем ляпать подобные глупости. Компьютеров под Windows гораздо больше, чем под Linux. Поэтому логичнее было бы оставить уязвимость под этой ОС.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Прохожий , 05-Май-21 08:03
прежнее -> прежде
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 05-Май-21 12:35
Действительно логично оставить маленькую резервацию для уязвимостей где они могут спокойно существовать и никому не вредить =)
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено X86 , 05-Май-21 13:54
В Windows свои от Microsoft есть, поэтому там как раз им не нужно. А вот в Linux оставить потайную дверь вполне логично.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Прохожий , 05-Май-21 14:37
> В Windows свои от Microsoft есть, поэтому там как раз им не
> нужно. А вот в Linux оставить потайную дверь вполне логично.Типа в Линуксе своих нет. Вспоминается недавний эксперимент вот того, теперь уже забаненого университета, который бэкдоры в ядро прямо слал, и они проходили, как ни странно, всю цензуру.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Адмирал Майкл Роджерс , 05-Май-21 12:03
Считаю необходимым заметить, что Агентство Национальной Безопасности США придерживается гибкой политики в вопросах взаимодействия с разработчиками программного обеспечения.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Прохожий , 05-Май-21 14:35
> Считаю необходимым заметить, что Агентство Национальной Безопасности США придерживается
> гибкой политики в вопросах взаимодействия с разработчиками программного обеспечения. Неуж-то представитель АНБ решил на ОпенНет-е объявиться? Чудеса...
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 12-Май-21 17:49
> мотивируя своё решение тем, что проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окружений.Старший над АНБ запрещает OS которые исполняют всякую дрянь:
2.1.3.1.1 System Architecture
The TCB shall maintain a domain for its own execution protects it from external interference or tampering (e.g., by modification of its code or data strucutres). Resources controlled by the TCB may be a defined subset of the subjects and objects in the ADP system.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено llolik , 05-Май-21 10:46
Не совсем понял, а в чём лол-то? Вся суть патча AOO -вот
// We consider some protocols unsafe
sal_Bool bUnsafeProtocol;
switch (aINetProtocol) {
case INET_PROT_HTTP:
case INET_PROT_HTTPS:
bSafeExtension = true; // trust the browser to prevent unsafe extensions
// case INET_PROT_FTP:
case INET_PROT_VND_SUN_STAR_HELP:
case INET_PROT_MAILTO:
bUnsafeProtocol = false;
break;
default: // Anything else, including INET_PROT_FILE
bUnsafeProtocol = true;
break;
}
if ( (!bIsDir && !bSafeExtension) || bUnsafeProtocol )
{
/* и дальше показать WarningBox */
остальное - правка комментов с немецкого на английский и прочая мелочь. LO, наколько я помню (возможно неправильно в код лезть лень), на linux использет gvfs при открытии ссылок на smb/webdav и вот это всё. Это Винда запускает файлы "по расширению" и, следовательно, достаточно забанить опасные и файл не запустится. Linux на расширение не смотрит и поэтом данный метод не подойдёт и нужно выдумывать какой-то другой. Но т.к. LO использует в данном случае возможности окружения/DE, то, наверное, авторы этого окружения/DE и должны придумывать механизм разграничения - что можно удалённо запускать, а что нельзя. Так что авторы LO, в общем-то, правильно всё сказали.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено InuYasha , 05-Май-21 11:57
Нужно ещё разобраться, какой механизм в ДЕ с этим работает. А то может оказаться, что туда пихать вывод диалогов тоже плохая идея, если это API в т.ч. для неинтерактивных обращений.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено llolik , 05-Май-21 12:51
> Нужно ещё разобраться, какой механизм в ДЕ с этим работаетНу опять же не команда LO должна заниматься доработками GVFS/GIO. Могут, в приципе, также "запатчить" как и AOO - выводить предупреждение. Ну и толку с того патча, только пользователя раздражает.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 05-Май-21 16:07
А чем пользуется дядька Cтолман?
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено maximnik0 , 06-Май-21 00:30
>А чем пользуется дядька Cтолман?Emacs, классику знать надо. :-)
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено anonymous , 04-Май-21 23:25
> Исправление для Linux разработчики LibreOffice отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окруженийО, а я знаю как. В генту специальный конфигурационный файл, называется package.mask
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 05-Май-21 05:34
короче все переходим на генту
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено ryoken , 05-Май-21 08:14
Мечта идиота :). Хоть советоваться будет с кем :), кроме гугла.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 04-Май-21 23:26
> Исправление для Linux разработчики LibreOffice отказались включатьНу да, ну да, зачем на серверах запускать маргинальный офисный пакет
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено макпыф , 05-Май-21 09:52
а сервера тут причем?
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 05-Май-21 22:59
Линукс же
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Arioch , 05-Май-21 23:41
> Ну да, ну да, зачем на серверах запускать маргинальный офисный пакет ну например XWiki.org использовала OpenOffice в режиме http-управляемого сервера для экспорта страничек в разные "офисные" форматы
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 06-Май-21 01:56
Вряд ли они таким образом ссылки бы открывали :)
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 04-Май-21 23:28
Вопрос первый: а что, скачивание по smb даёт бинарю на локалке атрибут +x?!
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 04-Май-21 23:32
Разве не даёт? Это ж вроде основное и единственное применение для самбы -- бинари с шары пускать.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 04-Май-21 23:32
>Выпуск Apache OpenOfficeДайте ему уже спокойно помереть.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 04-Май-21 23:34
А вот видишь в ОО исправили, а в ЛО всем похрен на remote code execution дыры.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 04-Май-21 23:35
arbitrary
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 05-Май-21 01:36
> разработчики LibreOffice ... проблема лежит не в их зоне ответственности и должна быть устранена на стороне дистрибутивов/пользовательских окруженийВсё правильно. Если чел не освоил smb.conf, ему рано открывать левые доки и кликать по левым ссылкам.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 05-Май-21 01:43
Ему рано пользоваться LO.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 05-Май-21 10:50
Так тогда будет пользоваться Windows, тем самым будит кормить армию коперастов
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 05-Май-21 11:39
Чел может юзать AOO.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 05-Май-21 16:02
Хм... А кто кормит армию свободных раздолбаев?
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено СеменСеменыч777 , 05-Май-21 05:11
> проблема лежит не в их зоне ответственности и должна быть
> устранена на стороне дистрибутивов/пользовательских окруженийA TO !
устранять будем так:
REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBIOS]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bowser]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb20]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Smb]
"Start"=dword:00000004
и перезагрузка.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Ананимас123 , 05-Май-21 06:29
В лину.псе появился реестр? Ну слава Поттеренгу, наконец-то!
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 05-Май-21 07:24
Вообще-то реестр пришел в Windows именно из Unix-а.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Аноним , 05-Май-21 17:24
А подробнее можно?
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Arioch , 05-Май-21 23:42
> А подробнее можно?сбежал
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено Леголас , 05-Май-21 07:14
ну вы и палитесь, Семён Семёныч 777!> и перезагрузка
прям типичная шindoшs
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено commiethebeastie , 05-Май-21 11:34
Это же аналог systemctl disable, который тоже без stop не остановит приложение.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, за..."
Отправлено СеменСеменыч777 , 05-Май-21 12:49
> ну вы и палитесь, Семён Семёныч 777! в упор не вижу палева. я занимаюсь в т.ч. win-*ix interoperability на низком уровне, на всех 3.5 локалхостах. так что могу себе позволить.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з..."
Отправлено Аноним , 05-Май-21 09:59
>отказались включать, мотивируя своё решение тем, что проблема лежит не в их зоне ответственностиИ вот это "нас рать" лезущее отовсюду - основная проблема современного LO. Да и вообще в опенсорсе что-то часто всплывать стала. Главное господам программистам - не переработать за корпоративные денежки. А на юзера плевать, ибо кто это вообще?
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з..."
Отправлено Аноним , 05-Май-21 10:51
OpenOffice в отличии от LibreOffice против Столлмана не голосовал!
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з..."
Отправлено я , 05-Май-21 11:38
у ОпенОфиса есть огромный плюс - он заморозился, поэтому для "долгоиграющих" файлов, где работа будет идти несколько лет, он замечательно подходит - ничего не отвалится даже при переезде на другой дистр...
ну и легче он... да...
а либра хорошо открывает файлы из почты... вот только теперь... ой...
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з..."
Отправлено YetAnotherOnanym , 05-Май-21 11:59
> Кроме офисных пакетов OpenOffice и LibreOffice аналогичная проблема также выявлена в Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark и MumbleГыыы... Сделали мой день.
Особый привет младоадминам на Wireshark'е от застрявшего на tcpdump&windump луддита-старпёра.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з..."
Отправлено Аноним , 05-Май-21 12:37
Исполняются и скриптовые языки без предупреждения? Так-то на шары обычно noexec ставят
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з..."
Отправлено Аноним , 05-Май-21 18:24
Господа эксперты, может кто подсказать что за режим графического окружения у автора видео ролика. По виду Xfce, но будто работает в тайловом режиме, Xfce умеет такое, или просто установлен тайловый WM вместо Xfwm?
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з..."
Отправлено Алекс , 05-Май-21 18:27
Это в апаче наверное такое наказание: плохо пишешь код, посадим за опенофис.
"Выпуск Apache OpenOffice 4.1.10 с устранением уязвимости, з..."
Отправлено Аноним , 05-Май-21 23:46
Вот вам и "неразвивающиеся продукты апача". :D