Besh oylik rivojlanishdan va oxirgi muhim nashrdan beri etti yarim yil o'tgach, 4.1.11 ta tuzatishni taklif qilgan Apache OpenOffice 12 ofis to'plamining tuzatuvchi versiyasi yaratildi. Tayyor paketlar Linux, Windows va macOS uchun tayyorlangan.
Yangi versiya uchta zaiflikni tuzatadi:
- CVE-2021-33035 - Maxsus tayyorlangan DBF faylini ochishda kodni bajarishga ruxsat beradi. Muammo OpenOffice tomonidan DBF fayllari sarlavhasidagi fieldLength va fieldType qiymatlariga tayanib, maydonlardagi haqiqiy ma'lumotlar turi mos kelishini tekshirmasdan xotirani ajratishda yuzaga keladi. Hujumni amalga oshirish uchun siz fieldType qiymatida INTEGER turini belgilashingiz mumkin, lekin kattaroq ma'lumotlarni joylashtirishingiz va INTEGER turi bilan ma'lumotlar hajmiga mos kelmaydigan maydonUzunlik qiymatini belgilashingiz mumkin, bu esa ma'lumotlarning dumiga olib keladi. ajratilgan buferdan tashqarida yozilayotgan maydondan. Boshqariladigan bufer to'lib ketishi natijasida siz funktsiyadan qaytish ko'rsatkichini qayta belgilashingiz va qaytishga yo'naltirilgan dasturlash usullaridan (ROP - Return-Oriented Programming) foydalanib, kodingiz bajarilishiga erishishingiz mumkin.
- CVE-2021-40439 - bu "Millard kulgili" DoS hujumi (XML bombasi), bu maxsus ishlab chiqilgan hujjatni qayta ishlashda mavjud tizim resurslarining tugashiga olib keladi.
- CVE-2021-28129 - DEB paketining mazmuni tizimga root bo'lmagan foydalanuvchi sifatida o'rnatilgan.
Xavfsizlik bo'lmagan o'zgarishlar:
- Yordam bo'limi matnlarida shrift o'lchami oshirildi.
- Shrift shriftlarining effektlarini boshqarish uchun Insert menyusiga element qo'shildi.
- PDF eksport funksiyasi uchun Fayl menyusiga etishmayotgan belgi qoβshildi.
- ODS formatida saqlashda diagrammalarni yo'qotish muammosi hal qilindi.
- Oldingi versiyada qo'shilgan operatsiyani tasdiqlash dialog oynasi tomonidan bloklangan ba'zi foydali funksiyalar bilan bog'liq muammo hal qilindi (masalan, dialog xuddi shu hujjatning bo'limiga murojaat qilganda ko'rsatilgan).
Manba: opennet.ru