The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск LibreOffice 6.0.1 с устранением уязвимости

09.02.2018 16:53

Организация The Document Foundation объявила о выходе LibreOffice 6.0.1, первого корректирующего выпуска из семейства LibreOffice 6.0 "fresh". Версия 6.0.1 ориентирована на энтузиастов, опытных пользователей и тех, кто предпочитает самые свежие версии программного обеспечения. Для консервативных пользователей и предприятий пока рекомендуется использовать одновременно сформированный выпуск LibreOffice 5.4.5 "still". Готовые установочные пакеты подготовлены для платформ Linux, macOS и Windows.

Обновление включает 75 исправлений, в числе которых устранение уязвимости (CVE-2018-1055) в LibreOffice Calc, позволяющей незаметно отправить удалённому атакующему содержимое любого файла в системе при открытии специально оформленной электронной таблицы. Проблема связана с особенностью работы функции WEBSERVICE, которая позволяет получить данные по URL. Используя URL в форме "file://" можно встроить в таблицу содержимое локального файла без вывода уведомления о совершении данной операции. Далее, через WEBSERVICE можно организовать отправку на внешний сервер полученных данных, передавая их порциями в составе параметров запроса. В LibreOffice 5.4.5 и 6.0.1 функция WEBSERVICE ограничена применением только ссылок с http:// и https://.

  1. Главная ссылка к новости (https://blog.documentfoundatio...)
  2. OpenNews: Выпуск офисного пакета LibreOffice 6.0
  3. OpenNews: Доступен CODE 3.0, дистрибутив для развёртывания LibreOffice Online
  4. OpenNews: Три уязвимости в Apache OpenOffice
  5. OpenNews: Выпуск офисного пакета Apache OpenOffice 4.1.5
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: libreoffice
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (60) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.12, прохожий (?), 17:49, 09/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну да, убрали file:// и решили проблему.. пфф! А как насчет http://intranet/secret.file ?
     
     
  • 2.25, Аноним (-), 22:19, 09/02/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Если у тебя секретные файлы доступны через http://intranet/secret.file без аутентификации, у меня для тебя плохая новость: любая веб-страничка может их слить налево, ты и не заметишь.
     
     
  • 3.29, прохожий (?), 23:37, 09/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    лично у меня нет. А кейсы показывают что в интранетах есть много такого, к чему ни офис, ни прочая шняга ни в коем случае не должна получить доступ. Персонал за DMZ получает безобидный файл "Посмотри Это" от начальника, который меняет пользовательские пароли, сбрасывает пароли на шлюзе/открывает порты, стягивает руткит и бог весть еще какая идея создателю придет в голову. А потом обнаружат что помимо инклюдов офис и скрипты умеет исполнять http://gismeteo/urupinsk%00|cat /etc/passwd|  и получим старый добрый винЧих на движке текстового процессора.
    Дело ведь не в том, что "любая веб-страничка может", а в том что теперь целый пласт софта попадает в разряд потенциально опасного из-за "хотели как лучше..." и "современные веб-технологии пришли и к нам".
     
     
  • 4.32, Аноним (-), 05:15, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А почему у вас вообще произвольный софт может лезть в сеть хрен знает как, без указания логина-пароля внешнего прокси? Может потому что у вас админа надо было уволить?
     
     
  • 5.34, прохожий (?), 08:14, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Я валяюсь с этого анонима. Он даже в буквы не умеет. Цитата - "кейсы показывают" толсто намекает на контекст... Но этот строитель допущений сам напридумывал и сам свою версию подпитывает.
     
  • 4.38, Аноним (-), 10:52, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А кейсы показывают что в интранетах есть много такого, к чему ни офис, ни прочая шняга ни в коем случае не должна получить доступ.

    Значит нужно закрыть доступ, а не выставлять в сеть для всех подряд.

     
     
  • 5.44, прохожий (?), 15:50, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну для начала оповести производителей сетевого оборудования с их "инженерными входами", дефолтными паролями, недокументированному ресету паролей и т.п. Или у тебя граница на замке?
     

  • 1.16, iPony (?), 18:20, 09/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я тут Ubuntu 14.04 открыл в виртуалке. А там Libre Office какой-то бородатый уже и старый. Такое ощущение, что современный прям летит всеми парами в кривую глюколяндию.
    Что-то с каждый новой версией всё ближе к состоянию "это всё проще переписать с нуля", ну или хотя бы балласт выкидывать со всякими там Base, они менее приоритетные, и прям видно что ломаются и разлетаются всё больше.
     
     
  • 2.20, Аноним (-), 19:15, 09/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В OpenSUSE - LibreOffice свежий
     
     
  • 3.30, Аннн виктор (?), 00:25, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    в бета релизе суси ло 6 чтоль?
     
  • 2.24, Anonymoustus (ok), 21:35, 09/02/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А я четыре-один-пятому АОО не нарадуюсь.
     
  • 2.26, Аноним (-), 22:34, 09/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Представь что сотрудники Гугла, которые работают (работали) на рабочих станциях с Ubuntu, пришли на работу - а там новый офис. Всё поменялось, работа затруднена... Поэтому софт в убунте никогда не обновляют. Мажорные релизы остаются теми же, а минорные - обновляют. Существуют ооочень редкие исключения: флеш плеер, KDE, Firefox.
     
     
  • 3.27, Аноним (-), 22:35, 09/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Там даже бэкпортируют фиксы из новых версий программ, если поддержка старой версии была прекращена разрабочиками.
     
  • 3.28, Аноним (-), 23:01, 09/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Представь что сотрудники Гугла, которые работают (работали) на рабочих станциях с Ubuntu, пришли на работу - а там новый офис. Всё поменялось, работа затруднена...

    Много ли сотрудников гугла по работе используют офис? Не исключено, что вообще никто.

     
  • 3.33, iPony (?), 06:15, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А причём тут это?
    Я писал не о том, почему LO не обновляется в старой Ubuntu.
    А о том, что старый LO производит лучшее впечатление чем новый.
     
     
  • 4.36, Anonymoustus (ok), 10:34, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А о том, что старый LO производит лучшее впечатление чем новый.

    https://www.libreoffice.org/download/download/

    > LibreOffice is available in the following released versions:
    >
    >    6.0.1
    >    6.0.0
    >    5.4.5
    >    5.4.4
    >    5.3.7

    То, что они явно предлагают к загрузке столько версий, указывает на их настоящее отношение к потребителям, так сказать, продукта: «Ищите баги сами, наши дорогие альфа-тестеры».

     
  • 3.35, Vlad Violenty (?), 10:14, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    в ubuntu 17.10 в репах по прежнему KDE 5.10

    сегодня на 16,04 прилетело обновление libreoffice До 6.0.0Rc3

     
  • 2.31, Аннн виктор (?), 00:28, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Переписать надо было еще вместо выпуска оо в1.
    Стал ли офис глючнее за последние годы? не думаю. Стал ли юзабильный - нет.


     
     
  • 3.39, Ю.Т. (?), 11:17, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Переписать надо было еще вместо выпуска оо в1.
    > Стал ли офис глючнее за последние годы? не думаю. Стал ли юзабильный
    > - нет.

    Толще -- стал. Кое-что и поправляют, но в сравнении с добавлением черт-те чего -- мизер. Тикеты на критичные вещи висят по 4-5-6 лет.

     

  • 1.18, Аноним (-), 19:03, 09/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А в убунте 16.04 - 5.1.6.2. Как бы оновиться, камрады?
     
     
  • 2.19, Fomalhaut (?), 19:07, 09/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скачать с сайта проекта DEB файл - не вариант?
     
     
  • 3.21, Mrakobes (?), 19:18, 09/02/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    просто подключить репозиторий prereleases
    sudo add-apt-repository ppa:libreoffice/libreoffice-prereleases
    sudo apt-get update
    sudo apt-get install libreoffice
    и будет тебе счастье.
    Только 6.0.1 будет там через пару дней. Так.то подождать придется.
     
  • 2.22, tonys (??), 19:47, 09/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    deb http://ppa.launchpad.net/libreoffice/libreoffice-6-0/ubuntu xenial main
    deb-src http://ppa.launchpad.net/libreoffice/libreoffice-6-0/ubuntu xenial main
     
  • 2.43, Vladjmir (ok), 15:35, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В убунту флатпак ещё не завезли?
     

  • 1.23, Васян (?), 20:12, 09/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    - Недавно вышел LibreOffice 6.0!
    - Зато OpenOffice скачали 3 миллиона раз!!1
    - Это разработчики LibreOffice качнули потестить билд. ;)
     
  • 1.37, Anonymoustus (ok), 10:39, 10/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    https://wiki.documentfoundation.org/ReleaseNotes/6.0#Windows

    Это они так адресуют свою поделку в бюджетный сектор, ага:

    > Removed support for Windows XP and Windows Vista. The minimum supported Windows version is now Windows 7 SP1.

    Сотни миллионов юзеров-бюджетников с шиндой XP во всём мире смотрят на это с ненавистью^Wнедоумением и продолжают использовать проверенные практикой MSO 97, 2000 и 2003.

     
     
  • 2.40, Ю.Т. (?), 11:20, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Это они так адресуют свою поделку в бюджетный сектор, ага:
    >> Removed support for Windows XP and Windows Vista. The minimum supported Windows version is now Windows 7 SP1.

    Ну да, но вот как писать новости про АОО? Релизы не крутятся, только всё какие-то дурацкие минорные цифирки. А тут два года -- плюс две мажорные.
    Ну и утруждаться "скучным" в команде АОО тоже не спешат.

     
     
  • 3.41, Anonymoustus (ok), 11:50, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже, что AOO это только на пользу: миллионы скачиваний и стабильная пользовательская база по всему миру. «Для тех, кто понимает». :)
     
  • 3.42, Anonymoustus (ok), 11:56, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я использую AOO с самого его появления. Субъективно, последний выпуск прекрасен. Глюки у меня на моих простых задачах не проявились, скорость запуска и работы выше всяческих похвал. А вот LO не впечатлил ни разу ни на одной системе. Даже на линукс я предпочитаю установить руками AOO, потому что в нём, по моим личным наблюдениям, всегда было меньше глюков.
     
     
  • 4.47, Ю.Т. (?), 19:02, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я использую AOO с самого его появления. Субъективно, последний выпуск прекрасен. Глюки
    > у меня на моих простых задачах не проявились, скорость запуска и
    > работы выше всяческих похвал. А вот LO не впечатлил ни разу
    > ни на одной системе. Даже на линукс я предпочитаю установить руками
    > AOO, потому что в нём, по моим личным наблюдениям, всегда было
    > меньше глюков.

    Я работаю с ОО давно и по факту постоянно (сейчас еженедельник АОО 4.1.5 в кач-ве основы) и не стал бы так категорично раскладывать.

    В ЛО больше мелких улучшений, среди которых есть весьма удобные (тот же счёт объёма в знаках на лету); лучше работа с серией форматов docx/... (это, впрочем, не решает).

    Линуксовая установка АОО тоньше против ЛО 5-ки более чем в два раза, и в работе пошустрее.

    Существенные беды с формулами не фиксят ни те, ни другие. :))

     
     
  • 5.50, Anonymoustus (ok), 16:58, 11/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Существенные беды с формулами не фиксят ни те, ни другие. :))

    В современном опенсорсе правило Реймонда* приводит к анекдотическим последствиям: почти 100 % выпущенного ПО — забагованный нестабильный мусор, почти ничего не доводят до ума и готовности, бросают недоделанным и начинают писать с нуль функциональные аналоги.

    От этого, собственно, непрерывного кошмара лично я окончательно сбежал на форточки. :) А если их знаешь на уровне хотя бы начинающего администратора, они дают такой непревзойдённый комфорт и покой, что как-то даже не тянет устанавливать на десктоп что-то опенсорсное. Хотя, вероятно, рано или поздно вынудят — повальным отказом создателей стороннего ПО от поддержки «устаревших» ОС. Например, Dropbox у меня уже не работает, хотя никаких технических причин для этого нет. Уроды…

    ________
    * https://en.wikipedia.org/wiki/Release_early,_release_often

     
     
  • 6.51, Ю.Т. (?), 07:34, 12/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > 100 % выпущенного ПО — забагованный нестабильный мусор, почти ничего не доводят
    > до ума и готовности, бросают недоделанным и начинают писать с нуль
    > функциональные аналоги.
    > От этого, собственно, непрерывного кошмара лично я окончательно сбежал на форточки. :)
    > А если их знаешь на уровне хотя бы начинающего администратора, они
    > дают такой непревзойдённый комфорт и покой, что как-то даже не тянет
    > устанавливать на десктоп что-то опенсорсное. Хотя, вероятно, рано или поздно вынудят — повальным
    > отказом создателей стороннего ПО от поддержки «устаревших» ОС. Например, Dropbox
    > у меня уже не работает, хотя никаких технических причин для этого
    > нет. Уроды…

    Не думаю, чтобы (для живого человека) реально было на протяжении длительного срока делать строго одно и то же с помощью однажды налаженного инструментария.
    Да и банально -- реестр? (хорошо, ответ -- переустановка, хотя бы с образа). Ну, а поломки? ошибки ПО? Нужна функциональность на немного бОльшая, чем в старой доброй версии?

    Какой-то чрезвычайно драматичный этот путь.

    С другой стороны, никуда не деться и от удовлетворения потребностей (торговцев хард- и софт-варом). (Вот -- дропбокс).

    Короче, классика! "Жить в обществе и быть свободным от общества..."

     
     
  • 7.54, Anonymoustus (ok), 16:05, 12/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не уверен, что правильно понял ваш комментарий.

    Про реестр что имелось в виду и в каком контексте? Если про винду, то я уже на той стадии просветления, когда оффтопик не переустанаваливают, а лечат, причём не хирургически, а точечно, иглоукалыванием. :)

    А дропбокс разочаровал невероятно. Была надежда, что хоть один нормальный, для людей, облачный сервис останется. Все подающие надежды «облака» давно позакрывались, стали только платными или продались. Дропбокс просто отключил от обслуживания старые системы. И говорит: обновитесь на новые ОС. Это получается, что срок жизни операционной системы в нашем дивном новом мире — годика этак два-три, а потом на свалку? Я считаю, что это неприемлемо.

     
     
  • 8.55, Ю.Т. (?), 16:10, 12/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, винда, конечно, и неуклонное толстение её реестра И не вывернешься А ту... текст свёрнут, показать
     
     
  • 9.57, Anonymoustus (ok), 12:05, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Она ж простая, как топор И при этом быстрая Реестр 8212 это единая БД прав... текст свёрнут, показать
     
     
  • 10.59, Ю.Т. (?), 12:37, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Всех, однако, много лет удручала неспособность гениальных создателей сделать баз... текст свёрнут, показать
     
     
  • 11.61, Anonymoustus (ok), 16:57, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Уже не избавлены системдой называется В BSD нету пока, я больше смотрю теперь ... текст свёрнут, показать
     
     
  • 12.63, Ю.Т. (?), 17:28, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В Slackware тоже нет systemd ... текст свёрнут, показать
     
     
  • 13.67, Anonymoustus (ok), 20:38, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это временно Я смотрел, в какой именно софт уже проросла системда даже если эт... текст свёрнут, показать
     
     
  • 14.70, Ю.Т. (?), 22:03, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Как же до сих пор обходится Слака Значит, можно обойтись В конце концов, тот ж... текст свёрнут, показать
     
     
  • 15.71, Anonymoustus (ok), 22:20, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Опасность и пагубность системды неочевидна, пока не разберёшься, откуда она врас... текст свёрнут, показать
     
     
  • 16.73, Ю.Т. (?), 07:38, 14/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вендор-лок это плохо, но не сказочный же дракон перед нами Скорее признак кризи... текст свёрнут, показать
     
  • 8.56, Анонимный Аноним (?), 19:31, 12/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Надеюсь, под сроком жизни годика этак два-три ты имеешь ввиду не Windows XP ... текст свёрнут, показать
     
     
  • 9.58, Anonymoustus (ok), 12:07, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Что не так с Windows XP Это вовсе не праздный вопрос Что именно в ней устарело... текст свёрнут, показать
     
     
  • 10.60, Ю.Т. (?), 12:39, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Когда она ровно сидит в виртуалке и крутит ровно одно приложение, в ней ровным с... текст свёрнут, показать
     
     
  • 11.62, Anonymoustus (ok), 17:10, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У меня живёт на живом железе в нескольких экземплярах, сервер 2003 тоже И как-т... текст свёрнут, показать
     
     
  • 12.64, Ю.Т. (?), 17:32, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почему бы и нет, если позволяет технологический цикл в кавычках или без ... текст свёрнут, показать
     
     
  • 13.68, Anonymoustus (ok), 20:56, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    OS 2 не так уж безнадёжна Есть eComStation , и её, возможно, кто-то покупает Д... текст свёрнут, показать
     
     
  • 14.69, Ю.Т. (?), 22:01, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Может, и покупают Но что за неуёмная тяга к наживе У меня до сих пор валяется ... текст свёрнут, показать
     
     
  • 15.72, Anonymoustus (ok), 22:29, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Учитывая, что теперь считается возможным и даже правильным запускать приложения ... текст свёрнут, показать
     
     
  • 16.74, Ю.Т. (?), 08:02, 14/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Структура задач информатики как отрасли изменилась-таки за 30 лет Я не вижу над... текст свёрнут, показать
     
  • 10.65, Анонимный Аноним (?), 19:38, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Windows XP выпущена в 2001 году Ей уже 17 лет Пора бы и сменить систему ... текст свёрнут, показать
     
     
  • 11.66, Anonymoustus (ok), 20:27, 13/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем Приведите рациональные аргументы Что именно в Windows XP испортилось с т... текст свёрнут, показать
     

  • 1.45, Аноним (-), 16:47, 10/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Ливерофис не нужен. Только нормальный, человеческий MSO. Всего 6 кусков же стоит.
     
     
  • 2.46, Анонвам (?), 18:01, 10/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не 6 а 12. У Вас с арифметикой плохо, да?
     
     
  • 3.48, Анонзо (?), 09:41, 11/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вы что, это ж слёзы для этого олигарха. Сделаем дядюшку Билла ещё богаче, он хочет вкусно кушать!
     
  • 2.53, Аноним (-), 12:22, 12/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ливерофис не нужен. Только нормальный, человеческий MSO. Всего 6 кусков же стоит.

    Шесть кусков в моем кармане выглядят намного симпатичнее чем в мелкософтовском.

     

  • 1.49, Аноним (-), 10:33, 11/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Официальные AppImage https://www.libreoffice.org/download/appimage/
     
     
  • 2.52, Ю.Т. (?), 07:35, 12/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Официальные AppImage https://www.libreoffice.org/download/appimage/

    Это всё тот же итальянец :))

     

  • 1.75, Аноним (75), 14:18, 13/09/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нормальная замена платному офису от Microsoft, если не хочется покупать.
    Жаль что некоторые документы формате docx  не откроет и зависнет, а если и откроет то немного сбивается форматирование.Пародовали иконки в плоском стиле. Похоже на MSO 15 и 16.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру