Беш ай иштеп чыгуудан жана акыркы маанилүү релизден бери жети жарым жылдан кийин, 4.1.11 оңдоону сунуш кылган Apache OpenOffice 12 кеңсе топтомунун түзөтүүчү релизи түзүлдү. Даяр пакеттер Linux, Windows жана macOS үчүн даярдалган.
Жаңы релиз үч кемчиликти оңдойт:
- CVE-2021-33035 - Атайын иштелип чыккан DBF файлын ачууда кодду аткарууга уруксат берет. Көйгөй OpenOffice тарабынан DBF файлдарынын башындагы fieldLength жана fieldType маанилерине таянып, талаалардагы маалыматтардын чыныгы түрү дал келгендигин текшербестен, эстутумду бөлүштүрүүдөн келип чыгат. Чабуул жасоо үчүн, FielType маанисинде INTEGER түрүн көрсөтсөңүз болот, бирок чоңураак маалыматтарды жайгаштырыңыз жана INTEGER түрү менен берилиштердин көлөмүнө дал келбеген талаанын узундугу маанисин көрсөтүңүз, бул маалыматтардын куйругун алып келет. бөлүнгөн буферден тышкары жазылган талаадан. Башкарылуучу буфердин толуп кетишинин натыйжасында сиз функциядан кайтаруу көрсөткүчүн кайра аныктай аласыз жана кайтарууга багытталган программалоо ыкмаларын (ROP - Return-Oriented Programming) колдонуп, кодуңуздун аткарылышына жетише аласыз.
- CVE-2021-40439 - бул атайын иштелип чыккан документти иштеп чыгууда колдо болгон системалык ресурстардын түгөнүшүнө алып келген "Миллиард күлкү" DoS чабуулу (XML бомбасы).
- CVE-2021-28129 – DEB топтомунун мазмуну тутумга root эмес колдонуучу катары орнотулган.
Коопсуздук эмес өзгөртүүлөр:
- Жардам бөлүмүндөгү тексттердеги шрифттин өлчөмү чоңойтулду.
- Fontwork шрифттеринин эффекттерин башкаруу үчүн Кыстаруу менюсуна нерсе кошулду.
- PDF экспорттоо функциясы үчүн File менюсуна жетишпеген сөлөкөт кошулду.
- ODS форматында сактоодо диаграммаларды жоготуу маселеси чечилди.
- Мурунку чыгарылышта кошулган операцияны ырастоо диалогу аркылуу кээ бир пайдалуу функциялардын бөгөттөлүшүнө байланыштуу маселе чечилди (мисалы, диалог ошол эле документтеги бөлүмгө шилтеме жасоодо көрсөтүлгөн).
Source: opennet.ru