ከሶስት ወር እድገት በኋላ እና የመጨረሻው ጉልህ ከተለቀቀ በኋላ ከሰባት ዓመታት በኋላ ፣ የቢሮው ስብስብ Apache OpenOffice 4.1.10 ማስተካከያ ተፈጠረ ፣ እሱም 2 ጥገናዎችን አቅርቧል። ዝግጁ የሆኑ ፓኬጆች ለሊኑክስ፣ ዊንዶውስ እና ማክሮስ ተዘጋጅተዋል።
ልቀቱ በሰነድ ውስጥ በልዩ ሁኔታ የተነደፈ አገናኝ ላይ ጠቅ ሲያደርጉ የዘፈቀደ ኮድ በሲስተሙ ውስጥ እንዲተገበር የሚያስችል ተጋላጭነትን (CVE-2021-30245) ያስተካክላል። ተጋላጭነቱ ከ"http://" እና "https://" እንደ "smb://" እና "dav://" ያሉ ፕሮቶኮሎችን የሚጠቀሙ የhypertext አገናኞችን በማዘጋጀት ላይ ባለ ስህተት ምክንያት ነው።
ለምሳሌ አንድ አጥቂ በSMB ሰርቨር ላይ ሊተገበር የሚችል ፋይል ማስቀመጥ እና ወደ ሰነድ ውስጥ ሊንክ ማስገባት ይችላል። ተጠቃሚው በዚህ ሊንክ ላይ ጠቅ ሲያደርግ የተገለጸው ተፈጻሚ ፋይል ያለ ማስጠንቀቂያ ይፈጸማል። ጥቃቱ በWindows እና Xubuntu ላይ ታይቷል። ለደህንነት ሲባል OpenOffice 4.1.10 ተጠቃሚው በሰነድ ውስጥ ያለውን አገናኝ ሲከተል ክዋኔውን እንዲያረጋግጥ የሚፈልግ ተጨማሪ ንግግር አክሏል።
ችግሩን ለይተው ያወቁት ተመራማሪዎች Apache OpenOffice ብቻ ሳይሆን LibreOfficeም በችግሩ (CVE-2021-25631) የተጠቃ መሆኑን ጠቁመዋል። ለ LibreOffice, ማስተካከያው በአሁኑ ጊዜ በ LibreOffice 7.0.5 እና 7.1.2 ልቀቶች ውስጥ በተካተተ ፓቼ መልክ ይገኛል, ነገር ግን ችግሩን የሚያስተካክለው በዊንዶውስ መድረክ ላይ ብቻ ነው (የተከለከሉ የፋይል ቅጥያዎች ዝርዝር ተዘምኗል. ). የLibreOffice ገንቢዎች ችግሩ በተጠያቂነት አካባቢያቸው ላይ እንዳልሆነ እና ከስርጭት/ተጠቃሚ አከባቢዎች ጎን መፈታት እንዳለበት በመጥቀስ ለሊኑክስ መጠገኛን ለማካተት ፈቃደኛ አልሆኑም። ከOpenOffice እና LibreOffice የቢሮ ስብስቦች በተጨማሪ በቴሌግራም፣ Nextcloud፣ VLC፣ Bitcoin/Dogecoin Wallet፣ Wireshark እና Mumble ላይ ተመሳሳይ ችግር ታይቷል።
ምንጭ: opennet.ru