ဖွံ့ဖြိုးတိုးတက်မှု ငါးလနှင့် နောက်ဆုံးသိသာထင်ရှားသော ထုတ်ဝေမှုနောက်ပိုင်း ခုနစ်နှစ်ခွဲကြာပြီးနောက်၊ ပြုပြင်မှုများ 4.1.11 ခုကို အဆိုပြုထားသည့် Office suite Apache OpenOffice 12 ၏ မှန်ကန်သော ထုတ်ပြန်မှုကို ဖွဲ့စည်းခဲ့ပါသည်။ အဆင်သင့်လုပ်ထားသော ပက်ကေ့ဂျ်များကို Linux၊ Windows နှင့် macOS အတွက် ပြင်ဆင်ထားပါသည်။
ဖြန့်ချိမှုအသစ်သည် အားနည်းချက်သုံးခုကို ပြင်ဆင်ပေးသည်-
- CVE-2021-33035 - အထူးပြုလုပ်ထားသော DBF ဖိုင်ကိုဖွင့်သည့်အခါ ကုဒ်လုပ်ဆောင်မှုကို ခွင့်ပြုသည်။ DBF ဖိုင်များ၏ ခေါင်းစီးရှိ fieldLength နှင့် fieldType တန်ဖိုးများကို OpenOffice သည် memory ခွဲဝေပေးရန်အတွက် နယ်ပယ်အတွင်းရှိ အမှန်တကယ်ဒေတာအမျိုးအစားနှင့် ကိုက်ညီမှုရှိမရှိကို မစစ်ဆေးဘဲ ဖြစ်ပေါ်လာရခြင်းဖြစ်ပါသည်။ တိုက်ခိုက်မှုတစ်ခုလုပ်ဆောင်ရန် သင်သည် FieldType တန်ဖိုးတွင် INTEGER အမျိုးအစားကို သတ်မှတ်နိုင်သော်လည်း ပိုမိုကြီးမားသောဒေတာကို ထားရှိကာ ဒေတာ၏အရွယ်အစားနှင့် မကိုက်ညီသော FieldLength တန်ဖိုးကို သတ်မှတ်ပါ၊ ဒေတာ၏အမြီးပိုင်းသို့ ဦးတည်မည့် INTEGER အမျိုးအစားဖြင့် ဒေတာအရွယ်အစားကို သတ်မှတ်ပါ။ ခွဲဝေပေးထားသည့် ကြားခံထက်ကျော်လွန်၍ ရေးသားထားသည့် နယ်ပယ်မှ၊ ထိန်းချုပ်ထားသော ကြားခံပြည့်လျှံမှု၏ ရလဒ်အနေဖြင့်၊ သင်သည် လုပ်ဆောင်ချက်မှ ပြန်လာညွှန်းကိန်းကို ပြန်လည်သတ်မှတ်နိုင်ပြီး၊ ပြန်လာ-ဆန်သော ပရိုဂရမ်းမင်းနည်းပညာများ (ROP - Return-Oriented Programming) ကို အသုံးပြု၍ သင့်ကုဒ်၏ လုပ်ဆောင်မှုကို အောင်မြင်နိုင်သည်။
- CVE-2021-40439 သည် အထူးဒီဇိုင်းထုတ်ထားသော စာရွက်စာတမ်းကို လုပ်ဆောင်သောအခါတွင် ရရှိနိုင်သော စနစ်အရင်းအမြစ်များကို ကုန်ခန်းသွားစေသည့် "ဘီလီယံနှင့်ချီရယ်" DoS တိုက်ခိုက်မှု (XML ဗုံး) ဖြစ်သည်။
- CVE-2021-28129 - DEB ပက်ကေ့ဂျ်၏ အကြောင်းအရာများကို root မဟုတ်သောအသုံးပြုသူအနေဖြင့် စနစ်တွင် ထည့်သွင်းထားသည်။
လုံခြုံရေးမဟုတ်သော အပြောင်းအလဲများ-
- အကူအညီကဏ္ဍရှိ စာသားများတွင် ဖောင့်အရွယ်အစားကို တိုးမြှင့်ထားသည်။
- Fontwork ဖောင့်များ၏ အကျိုးဆက်များကို ထိန်းချုပ်ရန် အကြောင်းအရာတစ်ခုကို ထည့်သွင်းရန် မီနူးသို့ ပေါင်းထည့်ထားသည်။
- PDF ထုတ်ယူခြင်းလုပ်ဆောင်ချက်အတွက် ဖိုင်မီနူးတွင် ပျောက်ဆုံးနေသော အိုင်ကွန်တစ်ခုကို ပေါင်းထည့်ခဲ့သည်။
- ODS ဖော်မတ်တွင် သိမ်းဆည်းသည့်အခါ ပုံများပျောက်ဆုံးခြင်းနှင့် ပြဿနာကို ဖြေရှင်းပြီးဖြစ်သည်။
- ယခင်ထုတ်ဝေမှုတွင် ထည့်သွင်းထားသည့် လုပ်ဆောင်ချက်အတည်ပြုချက် ဒိုင်ယာလော့ခ်ဖြင့် အသုံးဝင်သော လုပ်ဆောင်နိုင်စွမ်းအချို့ကို ပိတ်ဆို့ထားခြင်းကို ဖြေရှင်းပြီးဖြစ်သည် (ဥပမာ၊ တူညီသောစာရွက်စာတမ်းရှိ ကဏ္ဍတစ်ခုကို ရည်ညွှန်းသည့်အခါ ဒိုင်ယာလော့ခ်ကို ပြသထားသည်)။
source: opennet.ru