Уязвимости в Apache OpenOffice

25.03.2023 08:45

Раскрыты сведения о двух уязвимостях в офисном пакете Apache OpenOffice. Проблемы были устранены в выпуске Apache OpenOffice 4.1.14 под видом не связанных с безопасностью ошибок (сведения об уязвимости раскрыты спустя месяц после выпуска OpenOffice 4.1.14):

CVE-2022-47502 - атакующий может разместить в документе ссылку, вызывающую макрос с произвольными аргументами, и добиться выполнения своего скрипта при нажатии пользователем на эту ссылку или при автоматическом срабатывании связанных с документом событий без предварительного подтверждения операции. Проблеме присвоен критический уровень опасности.
CVE-2022-38745 - OpenOffice может быть настроен для добавления пустого пути поиска Java-классов, что может быть использовано для запуска произвольного Java-кода, размещённого в текущем каталоге. Проблеме присвоен умеренный уровень опасности.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/58861-apache

Ключевые слова: apache, openoffice

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (20)

1.1, Аноним (1), 08:49, 25/03/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–4 +/–

2.4, пох. (?), 09:05, 25/03/2023 Скрыто ботом-модератором [к модератору]	+2 +/–

1.2, Анонимно (ok), 08:55, 25/03/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

2.17, Аноним (-), 12:14, 25/03/2023 Скрыто ботом-модератором [к модератору]	+/–

1.3, Аноним (3), 09:02, 25/03/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

2.5, Аноним (5), 09:12, 25/03/2023 Скрыто ботом-модератором [к модератору]	–1 +/–

3.6, Аноним (6), 09:25, 25/03/2023 Скрыто ботом-модератором [к модератору]	+1 +/–

3.8, AKTEON (?), 09:37, 25/03/2023 Скрыто ботом-модератором [к модератору]	–1 +/–

3.10, Аноним (10), 09:54, 25/03/2023 Скрыто ботом-модератором [к модератору]	+3 +/–

3.11, Аноним (11), 09:55, 25/03/2023 Скрыто ботом-модератором [к модератору]	+1 +/–

2.7, Аноним (7), 09:37, 25/03/2023 Скрыто ботом-модератором [к модератору]	–2 +/–

....ответы скрыты (6)

1.12, Аноним (11), 09:58, 25/03/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Погодите-ка, а разве весь смысл макросов не вызываться с произвольными аргументами или я что-то пропустил?

2.13, iPony129412 (?), 10:16, 25/03/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Тут ключевые слова «запуск скрипта без спроса».

3.14, Аноним (11), 11:21, 25/03/2023 [^] [^^] [^^^] [ответить]	–2 +/–
Новость забыл прочитать? Он вызывается при нажатии на ссылку. Опять бухой?

4.16, iPony129412 (?), 11:32, 25/03/2023 [^] [^^] [^^^] [ответить]	+/–
1) нажатие ссылки не должно выполнять левый скрипт 2) прочитав новость, я пошёл сразу читать оригинал, и на CVE базу в придачу 3) на себя смотри, <CENSORED>

5.20, Аноним (20), 13:07, 25/03/2023 [^] [^^] [^^^] [ответить]	–1 +/–
Нажатие ссылки на веб странице может выполнить любой скрипт, и это уязвимостью не считается. Вопрос скорее в том, кчему имеет доступ этот скрипт. Если ему убрать доступ интернет и к файлам (как минимум за пределами папки, в которой находится документ, то всё будет нормально

6.21, Аноним (21), 14:49, 25/03/2023 [^] [^^] [^^^] [ответить]	+2 +/–
> без предварительного подтверждения операции > The execution of such links must be subject to user approval. Разобрался в твоем вопросе за меньшее количество времени, чем то, которое ты потратил на написание комментов.

1.19, ma3x one (?), 13:01, 25/03/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Ждём Backport уязвимостей в LibreOffice

2.24, Аноним (24), 18:38, 25/03/2023 [^] [^^] [^^^] [ответить]	+1 +/–
А что бакпортить то, если в OpenOffice один патч в месяц идёт?

1.25, ivan_erohin (?), 14:20, 26/03/2023 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> "под видом не связанных с безопасностью ошибок" интересно, они одни такие хитрые или кто-то еще практикует такой фокус (например linux kernekl team) ?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: