Үч айлык иштеп чыгуудан жана акыркы ири чыгарылыштан бери жети жылдан кийин, Apache OpenOffice 4.1.10 кеңсе топтомунун эки оңдоону сунуштаган чакан чыгарылышы чыгарылды. Даяр пакеттер даяр Linux, Windows и macOS.
Чыгаруу документтеги атайын иштелип чыккан шилтемени басканда системада ыктыярдуу кодду аткарууга мүмкүндүк берген (CVE-2021-30245) кемчиликти оңдойт. Алсыздык "smb://" жана "dav://" сыяктуу "http://" жана "https://" протоколдорун колдонгон гипертексттик шилтемелерди иштетүүдөгү ката менен шартталган.
Мисалы, чабуулчу өзүнүн SMB серверинде аткарылуучу файлды жайгаштырып, ага шилтемени документке киргизе алат. Колдонуучу шилтемени басканда, аткарылуучу файл эскертүүсүз аткарылат. Чабуул ... көрсөтүлдү Windows жана XubuntuКоопсуздук максатында, OpenOffice 4.1.10 колдонуучудан документтеги шилтемени ээрчүүдө операцияны ырастоону талап кылган кошумча диалог кутучасын кошту.
Маселени аныктаган изилдөөчүлөр көйгөй Apache OpenOffice'ке гана эмес, LibreOffice'ке (CVE-2021-25631) да таасир этерин белгилешти. LibreOffice үчүн учурда LibreOffice 7.0.5 жана 7.1.2 версияларына кирген патч түрүндө оңдоо бар, бирок ал көйгөйдү платформада гана чечет. Windows (тыюу салынган файл кеңейтүүлөрүнүн жаңыртылган тизмеси). Оңдолду Linux LibreOffice иштеп чыгуучулары көйгөй алардын милдети эмес жана дистрибуцияларда/колдонуучу чөйрөлөрүндө чечилиши керек деген шылтоо менен аны иштетүүдөн баш тартышты. OpenOffice жана LibreOffice кеңсе топтомдорунан тышкары, ушул сыяктуу көйгөй Telegram, Nextcloud, VLC, Bitcoin/Dogecoin Wallet, Wireshark жана Mumble'де да аныкталган.
Source: opennet.ru
