LibreOffice 5.4.5 és 6.0.1

LibreOffice logó A TDF nagy sietséggel soron kívül kiadta a LibreOffice 5.4.5-öt és 6.0.1-et. A soron kívüli kiadás fő oka, hogy egy nem felelősségteljesen viselkedő „biztonsági szakértő” nyilvánosságra hozott egy súlyos sebezhetőséget. Ajánlatos a frissítés ezekre a verziókra, illetve ha ez nem lehetséges, fokozott figyelemmel járjunk el nem megbízható forrásból származó fájlok megnyitásakor.

Frissítés: közben kijött a TDF discuss listára a teljes leírás, így nincs értelme a részleteket tovább visszatartani.

CVE-2018-1055: Remote arbitrary file disclosure vulnerability via WEBSERVICE formula

A LibreOffice Calc ismeri a WEBSERVICE függvényt, amely adatokat tud egy URL-ről letölteni. A sebezhető LibreOffice-verziókban a WEBSERVICE függvény helyi fájlokat is képes beolvasni, és ezek tartalmát a munkafüzetbe illeszteni. További képletekkel elérhető, hogy ezekből az adatokból egy URL jöjjön létre, amellyel a támadó a helyi adatokat egy távoli helyre továbbíthatja.

A LibreOffice újabb verzióiban a WEBSERVICE függvény csak http és https URL-eket enged, valamint a WEBSERVICE URL-ek a LibreOffice Calc hivatkozáskezelőjén is keresztülmennek.

“LibreOffice 5.4.5 és 6.0.1” bejegyzéshez 13 hozzászólás

  1. Utánlövés, de azért…
    Szóval nemcsak a biztonsági hibát javították.
    https://wiki.documentfoundation.org/Releases/6.0.1/RC1
    Ez egy “igazi” 6.0.1, azaz az új, “nagy” verzió első, javított kiadása — amivel nincs is semmi baj.
    Azért szóltam hozzá, mert ha ez igazi javítás, akkor annak is érdemes telepíteni, aki azt sem tudta, hogy a Calcban van WEBSERVICE függvény.

    Válasz

    1. Az mindegy, hogy tudta-e valaki, hogy van-e a Calcban WEBSERVICE függvény. Ha a felhasználó megnyit egy rosszindulatú fájlt a sebezhető LibreOffice-szal, akkor észrevétlenül el lesz küldve a támadónak pl. a privát ssh kulcsa. A korábbi, inkább hipotetikus biztonsági kockázatokkal szemben ez egy igazi, valós veszély, és kint van a neten egy példafájl is, amit minimális szakértelemmel bárki fel tud rossz célra használni.

      Válasz

    2. Talán túl gyorsan is kiadták, Win 10 1607 64bit folyamatosan összeomlik, az előző 6-os kiadás müködött.

      Válasz

  2. Kaptam egy ODT doksit egy kollégámtól, egy képletgyűjteményt, amit a második féléves informatika tárgy oktatásában segédként használunk, pontosabban az ebből legyártott PDF a vizsgákon és ZH dolgozatoknál használható segédletet. Korábban a bemutatandó matematikai képleteket egyszerűen befényképeztük, méretre vágtuk, és egyszerűen beillesztettük a szövegbe a megfelelő helyre.
    Egy kedves tanult kollégám javítani akart a dokumentum kinézetén, mivel a LibreOffice Math képletszerkesztővel sokkal jobb minőség is elérhető, így nekilátott. Windows alatt dolgozva semmi gond, ma teszteltem a megkapott dokumentumot, és minden képlet, egyenlet a megfelelő formában meg is jelenik a helyén, le is gyártható belőle a szokott PDF, ami így kisebb méretű, mintha beágyazott képletekkel dolgoznánk. Jól megy a LibreOffice 5.4.4 és 6.0.1 csomaggal, mint jeleztem, Windows 7/8/10 környezetben.
    A gond ott van, hogy itthon Debian Linux alatt dolgozom, LibreOffice 6.0.1 csomagot használva, és a képletek, egyenletek nem jelennek meg, szétesik a dokumentum megjelenése.
    Valakinek van ötlete, mi lehet a baj, és hogyan orvosolható? Nem szeretnék a szerkesztéshez állandóan egy virtuális Windowst igénybe venni. Lassít.
    Valakinek lenne ötlete a magyarázatra és megoldásra?
    Aki kéri, postafordultával küldöm a mintát.
    Üdv,
    Gábor

    Válasz

    1. A közös magyar AOO/LO fórumon van lehetőség feltölteni a mintádat, példafájlodat. És talán több is a reménybeli válaszadó.
      https://forum.openoffice.org/hu/forum/index.php

      Arra gyanakszom egyébként, hogy a képletszerkesztő által alkalmazott Fontok nincsenek jelen (nincsenek telepítve) a másik operációs rendszeren…

      Válasz

      1. A létező/hiányzó Fontokat a Writerhez írt kiterjesztéssel (is) tudod ellenőrizni.
        A neve TestFonts:
        https://extensions.openoffice.org/en/project/testfonts

        Célszerű a LO-hoz csomagolt ingyenes Fontokat használni a Microsoft termékek helyett, és a hordozhatóság megőrzéséhez rendelkezésre áll a “Fontok beágyazása a dokumentumba” funkció is. Természetesen csak azokat a Fontokat ágyazza be a program, amelyeknek a licence ezt megengedi. Ezért (is) jobbak a valóban ingyenes Fontok.

        Válasz

        1. Kedves Tibor!

          Köszönöm a gyors és érdemi választ. Amint hozzájutok, fel is avatom a javasoltakat.

          Üdv,
          Gábor

          Válasz

    2. Kedves Gábor!

      Azt javaslom, hogy a hiba pontos leírásával küldje be a dokumentumot a LibreOffice bugzillájába! A https://bugs.documentfoundation.org címre. A magyar fórumon is lehet hasznos segítségre bukkanni, de a nemzetközi hibajegy hasznosabb hosszabb távon a hasonló hibák elkerülése végett! 🙂

      Válasz

      1. Igen, a Fórum főleg arra jó, hogy esetleg kiderüljön: valóban bug (programhiba), vagy felhasználói tévedés, melléütés; beállításbeli különbözőség, vagy éppen ismerethiány okozta a problémát.

        Kevésbé terheljük a fejlesztőket, ha csak a “biztosan bug-okat” küldjük el nekik.

        Válasz

    2. “Használhatatlan. Folyamatosan összeomlik.”

      Ha dolgozni akarsz a LibreOffice-szal, akkor használd a legfrissebb (vagy valamelyik régebbi) Still verziót.

      Ha tesztelni szeretnéd a 6.x.x (Fresh) verziót, akkor jelezz vissza a fejlesztők felé olyan információk megadásával, ami alapján reprodukálható a nálad jelentkező hiba.

      A vagdalkozásnak a saját bosszankodásodon túl semmilyen kézzelfogható eredménye nem lesz.

      Válasz

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük