Bost hilabeteko garapenaren ondoren eta zazpi urte eta erdi azken bertsio esanguratsutik, Apache OpenOffice 4.1.11 ofimatika-multzoaren bertsio zuzentzaile bat sortu zen, 12 konponketa proposatzen zituena. Prestatutako paketeak Linux, Windows eta macOS-erako prestatuta daude.
Argitalpen berriak hiru ahultasun konpontzen ditu:
- CVE-2021-33035 - Kodea exekutatzeko aukera ematen du bereziki landutako DBF fitxategi bat irekitzean. Arazoa OpenOffice-k DBF fitxategien goiburuko fieldLength eta fieldType balioetan oinarritzen da memoria esleitzeko, eremuetako benetako datu mota bat datorrela egiaztatu gabe. Eraso bat egiteko, INTEGER mota bat zehaztu dezakezu fieldType balioan, baina datu handiagoak jarri eta inTEGER motarekin datuen tamainarekin bat ez datorren fieldLength balio bat zehaztu, eta horrek datuen isatsera eramango du. esleitutako bufferetik haratago idazten ari den eremutik. Buffer gainezkatze kontrolatuaren ondorioz, funtziotik itzulera erakuslea birdefini dezakezu eta, itzulera bideratutako programazio-teknikak erabiliz (ROP - Return-Oriented Programming), zure kodearen exekuzioa lor dezakezu.
- CVE-2021-40439 "Billion laughs" DoS erasoa da (XML bonba), eta horrek sistemaren baliabide eskuragarriak agortzen ditu bereziki diseinatutako dokumentu bat prozesatzen denean.
- CVE-2021-28129 - DEB paketearen edukia sisteman instalatu zen root ez den erabiltzaile gisa.
Segurtasun ez diren aldaketak:
- Laguntza ataleko testuen letra-tamaina handitu egin da.
- Elementu bat gehitu da Txertatu menuan Fontwork letra-tipoen efektuak kontrolatzeko.
- Falta den ikono bat gehitu da Fitxategia menuan PDF esportazio funtziorako.
- ODS formatuan gordetzean diagramak galtzearen arazoa konpondu da.
- Aurreko bertsioan gehitutako eragiketa berresteko elkarrizketa-koadroak blokeatzen dituen funtzionalitate erabilgarriaren arazo bat konpondu da (adibidez, elkarrizketa-koadroa dokumentu bereko atal bati erreferentzia egitean bistaratu zen).
Iturria: opennet.ru