Apache OpenOffice 4.1.11 באפרייט

נאָך פינף חדשים פון אַנטוויקלונג און זיבן און אַ האַלב יאָר זינט די לעצטע באַטייטיק מעלדונג, אַ קערעקטיוו מעלדונג פון די אָפיס סוויט Apache OpenOffice 4.1.11 איז געגרינדעט, וואָס פארגעלייגט 12 פיקסיז. פאַרטיק פּאַקאַדזשאַז זענען צוגעגרייט פֿאַר לינוקס, ווינדאָוז און מאַקאָס.

די נייַע מעלדונג פיקסיז דריי וואַלנעראַביליטיז:

• CVE-2021-33035 - אַלאַוז די דורכפירונג פון קאָד ווען עפן אַ ספּעציעל קראַפטעד DBF טעקע. די פּראָבלעם איז געפֿירט דורך OpenOffice רילייינג אויף די וואַלועס פון פעלדלענגט און פעלדטיפּ אין די כעדער פון די DBF טעקעס צו אַלאַקייט זיקאָרן, אָן קאָנטראָלירן אַז די פאַקטיש דאַטן טיפּ אין די פעלדער שטימען. צו דורכפירן אַ באַפאַלן, איר קענען ספּעציפיצירן אַן INTEGER טיפּ אין די פעלד טיפּ ווערט, אָבער שטעלן גרעסערע דאַטן און ספּעציפיצירן אַ פעלד לענג ווערט וואָס שטימען נישט צו די גרייס פון די דאַטן מיט די INTEGER טיפּ, וואָס וועט פירן צו די עק פון די דאַטן. פון די פעלד וואָס איז געשריבן ווייַטער פון די אַלאַקייטיד באַפער. ווי אַ רעזולטאַט פון קאַנטראָולד באַפער אָוווערפלאָו, איר קענען רידיפיין די צוריקקער טייַטל פון די פונקציע און, ניצן צוריקקומען-אָריענטיד פּראָגראַממינג טעקניקס (ROP - Return-Oriented Programming), דערגרייכן די דורכפירונג פון דיין קאָד.
• CVE-2021-40439 איז אַ "ביליאָן לאַפס" דאָס באַפאַלן (קסמל באָמבע), וואָס פירט צו די יגזאָסטשאַן פון פאַראַנען סיסטעם רעסורסן ווען פּראַסעסינג אַ ספּעשלי דיזיינד דאָקומענט.
• CVE-2021-28129 - דער אינהאַלט פון די DEB פּעקל איז אינסטאַלירן אויף די סיסטעם ווי אַ ניט-וואָרצל באַניצער.

ניט-זיכערהייט ענדערונגען:

• די שריפֿט גרייס אין די הילף אָפּטיילונג טעקסטן איז געוואקסן.
• אַ נומער איז צוגעלייגט צו די אַרייַנלייגן מעניו צו קאָנטראָלירן די יפעקץ פון פאָנטוואָרק פאַנץ.
• צוגעגעבן אַ פעלנדיק ייקאַן צו די טעקע מעניו פֿאַר די פּדף עקספּאָרט פונקציע.
• די פּראָבלעם מיט אָנווער פון דייאַגראַמז ווען שפּאָרן אין ODS פֿאָרמאַט איז סאַלווד.
• אַן אַרויסגעבן מיט עטלעכע נוציק פאַנגקשאַנאַליטי וואָס איז אפגעשטעלט דורך די אָפּעראַציע באַשטעטיקונג דיאַלאָג צוגעגעבן אין די פריערדיקע מעלדונג איז סאַלווד (למשל, דער דיאַלאָג איז געוויזן ווען ריפערינג צו אַ אָפּטיילונג אין דער זעלביקער דאָקומענט).

מקור: opennet.ru