URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 80651
[ Назад ]

Исходное сообщение
"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."

Отправлено opennews , 05-Окт-11 19:17 
Несколько недавно обнаруженных уязвимостей:

-  Разработчики LibreOffice признали (http://blog.documentfoundation.org/2011/10/05/the-document-f.../), что в выпущенных в августе релизах LibreOffice 3.4.3 (https://www.opennet.ru/opennews/art.shtml?num=31645) и 3.3.4 (https://www.opennet.ru/opennews/art.shtml?num=31522) было скрытно исправлено несколько уязвимостей, среди которых критическая проблема,  позволяющая организовать выполнение кода при открытии специальным образом модифицированных файлов в формате DOC. Кроме того, сообщается об устранении проблем безопасности в коде обработки изображений EMF и WMF. Всем пользователям офисного пакета рекомендуется срочно обновить LibreOffice (http://www.libreoffice.org/) до последних версий;

-  В корректирующих выпусках мультимедиа пакета FFmpeg 0.7.6 и 0.8.5 устранено 32 уявзимости (http://ffmpeg.org/#pr7dot6and8dot5), среди которых присутствуют проблемы, позволяющие добиться вып...

URL:
Новость: https://www.opennet.ru/opennews/art.shtml?num=31951


Содержание

Сообщения в этом обсуждении
"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Аноним , 05-Окт-11 20:16 
то что
> LibreOffice 3.4.3 и 3.3.4 было скрытно исправлено несколько уязвимостей

плохо что не сообщили ...

то что
> об локальной root-уязвимости во FreeBSD

первое - не по русски "о локальной"
второе - успеют к 9му релизу ?


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Отсутствуют данные в поле Name , 05-Окт-11 20:28 
>LibreOffice 3.4.3 и 3.3.4 было скрытно исправлено несколько уязвимостей

Это пройдёт. Просто привычки со времён работы на Оркл.


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено фыва , 05-Окт-11 20:48 
Ораклистов там мало, если вообще есть.
Просто нет пиарщиков/евангелистов. Исправили, а рассказать об этом некому.

"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Аноним , 05-Окт-11 21:10 
> Ораклистов там мало, если вообще есть.
> Просто нет пиарщиков/евангелистов. Исправили, а рассказать об этом некому.

Распиарить себя везде - сил хватило, А признать свои ошибки - нет.
Как это в стиле RedHat (которые одни из основателей Libre) - назвать ошибки в безопастности - не критическими.


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Аноним , 05-Окт-11 21:32 
> Распиарить себя везде - сил хватило, А признать свои ошибки - нет.

А это почти как с файрфоксом: пиарили не разработчики а пользователи. Которых задолбали потуги оракла рулить методом слона в посудной лавке, не делая ничего полезного но зато сильно желая покрутить штурвал.

> Как это в стиле RedHat (которые одни из основателей Libre) - назвать
> ошибки в безопастности - не критическими.

Реально критическое - это когда ремотно, без спроса, бац - и рут. Вот это критично, да - автоматическая зараза может переиметь все на автопилоте и собрать огромные ботнеты. Остальное менее критично, хоть и неприятно.


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Аноним , 05-Окт-11 21:53 
>>LibreOffice 3.4.3 и 3.3.4 было скрытно исправлено несколько уязвимостей
> Это пройдёт. Просто привычки со времён работы на Оркл.

Скорее наоборот - не хотели заклятым конкурентам помогать.
А теперь вот раскрыли инфу, разработчики OOo проведут аудит, да пофиксят аналогичные баги у себя.


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Клыкастый , 05-Окт-11 22:25 
за такую конкуренцию надо ботинками по голове походить

"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Аноним , 05-Окт-11 21:08 
Такая вот она "Свобода" - видимо свобода знать о всех проблемах в безопасности.
Две из них они под давлением признали - а скрытых сколько ?

"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Аноним , 06-Окт-11 00:56 
Возьми код, посмотри.

"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено 17 , 05-Окт-11 22:24 
> второе - успеют к 9му релизу ?

да уже пропатчили все поддерживаемые релизы.


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Аноним , 05-Окт-11 22:44 
написано же русским по белому, что патч ломает работу сокетов
или чтото не понял ?

"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено 17 , 05-Окт-11 22:47 
> написано же русским по белому, что патч ломает работу сокетов
> или чтото не понял ?

вот тут почитай, что линуксолятор уже пропатчили, после того как работу сокетов сломали.
http://lists.freebsd.org/pipermail/svn-src-all/2011-October/...


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Аноним , 06-Окт-11 09:22 
покажи мне где я грязно выражался в отличии от ...

в тексте новости четко прослеживается что есть патч и он ломает сокеты

сегодня надеюсь выспался ?


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено 17 , 05-Окт-11 22:52 
> написано же русским по белому, что патч ломает работу сокетов
> или чтото не понял ?

прошу прощения за предыдущий коммент. вспылил, был не прав. на самом деле хотел сказать что на брудершафт мы с вами не пили, так что тыкать мне не надо. во-вторых, эта часть новости неактуальна. вчера во все поддерживаемые релизы уже скоммичено исправление. пруф вот здесь: http://lists.freebsd.org/pipermail/svn-src-all/2011-October/...


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено тигар , 06-Окт-11 09:46 
svn log -v -r226023:
------------------------------------------------------------------------
r226023 | cperciva | 2011-10-04 22:07:38 +0300 (вт, 04 окт 2011) | 8 lines
Changed paths:
   M /head/sys/compat/linux/linux_socket.c
   M /releng/7.3/UPDATING
   M /releng/7.3/sys/compat/linux/linux_socket.c
   M /releng/7.3/sys/conf/newvers.sh
   M /releng/7.4/UPDATING
   M /releng/7.4/sys/compat/linux/linux_socket.c
   M /releng/7.4/sys/conf/newvers.sh
   M /releng/8.1/UPDATING
   M /releng/8.1/sys/compat/linux/linux_socket.c
   M /releng/8.1/sys/conf/newvers.sh
   M /releng/8.2/UPDATING
   M /releng/8.2/sys/compat/linux/linux_socket.c
   M /releng/8.2/sys/conf/newvers.sh
   M /stable/7/sys/compat/linux/linux_socket.c
   M /stable/8/sys/compat/linux/linux_socket.c
   M /stable/9/sys/compat/linux/linux_socket.c

Fix a bug in UNIX socket handling in the linux emulator which was
exposed by the security fix in FreeBSD-SA-11:05.unix.

Approved by:    so (cperciva)
Approved by:    re (kib)
Security:       Related to FreeBSD-SA-11:05.unix, but not actually
                a security fix.

------------------------------------------------------------------------


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено gegMOPO4 , 05-Окт-11 21:08 
Детали не разглашаются, а hotfix выпустили. Нет ли здесь противоречия и желтизны?

"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Аноним , 05-Окт-11 21:50 
>Детали не разглашаются, а hotfix выпустили. Нет ли здесь противоречия и желтизны?

Хитрость в том, что множество А проповедников по форумам и множество В квалифицированных программистов, способных по патчу определить подробности, практически не пересекаются :)

Помнится, американцы во время Второй Мировой использовали в качестве шифра язык племени Навахо. У фашистов элементарно не было людей, знавших этот язык. По-моему, хорошая аналогия :)


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено gegMOPO4 , 05-Окт-11 23:26 
Признаться, я предполагал, что желтизной новость обязана, как обычно, опеннету. Но нет, в оригинале явно сказано: «Due to the nature of the vulnerability, the security team has decided to pre-announce that a fix is upcoming before disclosing the details». В то же время, фикс — крохотный архив с двумя питоновскими скриптами, один — сам простой фикс, другой — готовый тест (только имя хоста прописать). Т.е. указано, где сидит уязвимость и как к ней подступиться извне. А дальше любой, владеющий питоном и исходниками, может раскопать в чём именно ошибка и как её использовать.

"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено toivo , 17-Окт-11 10:45 
>Помнится, американцы во время Второй Мировой использовали в качестве шифра язык племени Навахо.

Наши тоже не дураки были... Описаны случаи с казахами, грузинами, осетинами, да и переход на украинский или белорусский тоже фашистам мозг выносил.
Удачи!


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено 17 , 05-Окт-11 22:27 
> Детали не разглашаются, а hotfix выпустили. Нет ли здесь противоречия и желтизны?

Поизучайте как устанавливаются эти хотфиксы. Это отдельный пакет (egg), который устанавливается в систему дополнительно к zope или plone. Т.е. Вычленить оттуда собственно закрытие уязвимости не так просто, как если бы это был традиционный патч.


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено gegMOPO4 , 05-Окт-11 23:28 
    from OFS.misc_ import p_

    for k, v in list(p_.__dict__.items()):
        if isinstance(v, ModuleType):
            del p_.__dict__[k]

    from Products.CMFEditions.utilities import KwAsAttributes

    if not hasattr(KwAsAttributes, '__roles__'):
        KwAsAttributes.__roles__ = ()

Вот и весь хотфикс.


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Тот_Самый_Анонимус , 05-Окт-11 21:24 
>Разработчики LibreOffice признали, что в выпущенных в августе релизах LibreOffice 3.4.3 и 3.3.4 было скрытно исправлено несколько уязвимостей <вырезано за ненадобностью>

Причём не сообщается есть ли эти уязвимости в OOo. Вполне вероятно что "разработчики" просто исправляли результаты своей криворукости. а в оригинальном офисе этих косяков не было.


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Аноним , 05-Окт-11 21:33 
> Причём не сообщается есть ли эти уязвимости в OOo.

Скорее всего никто особо и не разбирался. Вот смотрите, есть ваш проект а есть форк от котоорго вы свалили потому что они - козлы. Пусть вы нашли баг. Пойдете ли вы репортить его "козлам"? Правильно: вы забьете, а "козлы" пусть сами выгребают как умеют. А вы как максимм станцуете на их могилке если они все-таки не выгребут :)


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Аноним , 05-Окт-11 21:51 
> Правильно: вы забьете, а "козлы" пусть сами выгребают как умеют.

Свобода, равенство, братство! А также, совет да любовь!


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Тот_Самый_Анонимус , 06-Окт-11 06:37 
>Вот смотрите, есть ваш проект а есть форк от котоорго вы свалили потому что они - козлы. Пусть вы нашли баг. Пойдете ли вы репортить его "козлам"?

Вот смотрите, есть свободный проект, иметь который Вам выгодно. Вы, как настоящий козёл, требуете торговую марку. Вам отказывают и Вы начинаете переманивать разработчиков. ваяете форк. и не жалеете деньги на пиар. Зарабатываете толпы фанатов, которые лижут задницу Вам и Вашему продукту. Находите ошибки в своём творении, и, как истинный козёл, скрываете их, исправляя их в следующей версии, но "забыв" упомянуть их исправление. Но Вы можете оказаться в глазах общественности избавителем от ошибок. Достаточно найти корни этих глюков в родительском проекте и обвинить их в кривизне, а себя спасителем, что принесёт Вам ещё несколько очков в глазах фанатов. Однако в оригинальном проекте нет этих ошибок. И Вы, в порыве своей козлиной души, просто делаете вид что не было никаких ошибок.

Могло быть и так. Никто не может заставить людей работать на другой проект. Однако если ошибки приплыли из OOo, то тогда я не вижу смысла скрывать их наличие.


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Аноним , 06-Окт-11 10:52 
> в выпущенных в августе релизах LibreOffice 3.4.3 и 3.3.4 было скрытно исправлено...

А номер версии они не поменяли после "скрытного исправления" или выложили под тем же номером?


"Уязвимости в LibreOffice, FFmpeg, RPM, Zope, Plone, Perl, Pu..."
Отправлено Мимо шел , 06-Окт-11 19:48 
Написано же, что исправлено "в выпущенных релизах". Исправили ошибки и выпустили релизы.