Biztonsági hiba javítása (CVE-2011-2713)

A Document Foundation (TDF) ma nyilvánosságra hozta egyes biztonsági hibák részleteit, amelyek a nemrég kiadott LibreOffice 3.4.3-ban lettek kijavítva. Az iparágban szokásos gyakorlat szerint a hibák nyilvánosságra hozásával vártak, hogy a felhasználóknak legyen idejük áttérni a javított verzióra. A LibreOffice kereskedelmi disztribútorai a javított kiadásokat már korábban elkészítették, és felhasználóikhoz eljuttatták.

A RedHat biztonsági szakembere, Huzaifa Sidhpurwala talált egy memóriakezelési hibát a LibreOffice Microsoft Office-dokumentumokat kezelő kódrészletében. A hiba elméletben kihasználható, egy speciálisan összeállított dokumentum segítségével például vírus telepíthető a számítógépre. A sebezhetőség leírása a CVE-2011-2713 szám alatt, „out of bounds property read in binary .doc filter” címmel található meg az adatbázisokban.

A LibreOffice 3.4.3 ezen kívül más potenciális biztonsági réseket is befoltoz. Javult a Windows Metafile (.wmf) és a Windows Enhanced Metafile (.emf) képformátumok betöltésének kódja, miután a fejlesztők kijavították a „fuzz testing” módszerrel felszínre került hibákat. Az általános kódtisztítási munka eredményeként is több hasonló javításra került sor. A biztonsági hibák javítása ebben a kiadásban nagyrészt Caolán McNamara (RedHat) és Marc-André Laverdière (Tata Consultancy Services) érdeme.

LibreOffice 3.3.4

LibreOffice logó A Document Foundation (TDF) bejelentette a LibreOffice szabad és ingyenes irodai programcsomag 3.3-as ágának legújabb, hibajavító kiadását. Letöltés Windows, Mac OS X és Linux operációs rendszerekre.

A LibreOffice 3.3.4 számos hibát javít (részletes lista), a következő (3.3.5-ös) kiadás októberre várható. Ez idő alatt folytatódik a 3.4-es ág fejlesztése is: ennek következő kiadása – LibreOffice 3.4.3 – várhatóan augusztus végén jelenik meg. (A TDF két LibreOffice ágat tart karban: a 3.3.x ág elsősorban a konzervatív felhasználókat célozza: újabb kiadásai hibajavításokat tartalmaznak, növelve a program stabilitását. A 3.4.x ág tartalmazza az újdonságokat. Bővebben a két ágról.)

Megjelent a LibreOffice 3.3.2

LibreOffice logó Megjelent LibreOffice 3.3.2. A LibreOffice 3.3.1-hez képest ez a verzió nem tartalmaz sok újdonságot, ennek a javítókiadásnak is a 3.3-as verzió stabilizálása és a honosítások frissítése volt a célja. A Document Foundation előre nyilvánosságra hozta a 3.3-as sorozat kiadási dátumait, és ezt a feszes ütemtervet képes volt tartani. A fejlesztőcsapat jó munkát végzett.

A változások listája szokás szerint a NEWS fájlban olvasható. Sajnos ez csak az egyedi commitokhoz fűzött megjegyzések összesítése, és nem feltétlenül derül ki belőle, hogy mi változott, illetve ennek mi a jelentősége. Amennyire meg lehet állapítani, több programösszeomlást okozó hiba került javításra. Frissültek a honosítások is. Több fordítócsapat egészítette ki vagy javította a fordítását. Bekerült a csomagba a breton helyesírás-ellenőrző szótár, frissültek a német, a szlovén és az okcitán szótárak. Javítva lett egy csúnya lokalizációs hiba is, amely a nem teljes fordításokat érintette (tehát a magyart nem): a hiányos fordítás azt okozta, hogy egyes párbeszédablakok (pl. Nyomtatás) hiányosan, csökkentett funkcionalitással jelentek meg.

A kiadási ütemterv nem tartalmaz több kiadást a 3.3-as sorozatból. Valószínű, hogy a 3.3.2 után már nem lesz több kiadás ebből az ágból. A fejlesztők többsége az utóbbi hetekben már a 3.4-es verzió béta állapotba juttatásán dolgozott.

OxygenOffice Professional 3.2.0.20 – Windowsra

Az OxygenOffice Professional fejlesztői örömmel jelentik be az OxygenOffice Professional irodai programcsomag legújabb, 3.2.0.20-as verzióját. Az OxygenOffice Professional 3.2.0.20 irodai programcsomag az OpenOffice.org 3.2.0 változatának különleges, kibővített kiadása, amely hozzácsomagolt kiegészítők tekintetében múlja felül az eredeti terméket, megtartva annak előnyös tulajdonságait. Természetesen a OxygenOffice Professional irodai programcsomag 100%-ban kompatibilis az eredeti kiadással. A programcsomag Windows változata letölthető a https://sourceforge.net/projects/ooop/ címről.

“OxygenOffice Professional 3.2.0.20 – Windowsra” bővebben

Openoffice.org 3.2 biztonsága

Az OpenOffice.org 3.2-re frissítés nem csak a bejelentésben részletezett újdonságok és a teljesítményjavulás miatt javasolt, hanem javított biztonsági hibák és a biztonsági változtatások miatt is.

Az OpenOffice.org 3.2-ben javított biztonsági hibák:

  • CVE-2006-4339: Potenciális sebezhetőség harmadik féltől való libxml2 könyvtáraktól
  • CVE-2009-0217: Potenciális sebezhetőség harmadik féltől való libxmlsec könyvtáraktól
  • CVE-2009-2493: OpenOffice.org 3 Windows változata az MSVC sebezhető változatát tartalmazta
  • CVE-2009-2949: Potenciális sebezhetőség XPM fájl feldolgozással kapcsolatban
  • CVE-2009-2950: Potenciális sebezhetőség GIF fájl feldolgozással kapcsolatban
  • CVE-2009-3301/2: Potenciális sebezhetőség MS-Word dokumentum feldolgozással kapcsolatban

“Openoffice.org 3.2 biztonsága” bővebben

Biztonsági hibák javítása az OOo 3.1.1-ben

Nyilvánosságra hozták az OpenOffice.org 3.1.1-ben javított biztonsági hibákat. Javasoljuk a frissítést minden olyan telepítésnél, ahol biztonsági kockázatot jelenthet az alábbi hibák megléte az OpenOffice.org régebbi verzióiban.

  • CVE-2009-0200 / CVE-2009-0201: Manipulált Microsoft Word-fájlok túlcsordulást okozhatnak a halomban (heap overflow), és ez tetszőleges kód futtatását teheti lehetővé.
  • CVE-2009-2414 / CVE-2009-2416: Manipulált XML-dokumentumok segítségével tetszőleges kód futtatását lehet elérni.

Forrás: OpenOffice.org Security Team Bulletin

Malte Timmermann válasza a Black Hat 2009 „OOo Biztonsága” előadásában előadottakra

Malte Timmermann aki az OOo biztonságáért felelős, a blogján válaszolt a Black Hat 2009 konferencián Eric Filiol és Jean-Paul Fizaine által előadottakra: http://blogs.sun.com/malte/entry/comments_on_the_black_hat

A blog bejegyzés teljes fordítása:

Megjegyzések a Black Hat 2009 „OOo Biztonsága” előadásra

“Malte Timmermann válasza a Black Hat 2009 „OOo Biztonsága” előadásában előadottakra” bővebben