abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 05:33 | IT novinky

    Samsung představil headset Galaxy XR se 4K Micro-OLED displeji, procesorem Snapdragon XR2+ Gen 2, 16 GB RAM, 256 GB úložištěm, operačním systémem Android XR a Gemini AI.

    Ladislav Hagara | Komentářů: 1
    dnes 05:22 | Nová verze

    Před konferencí Next.js Conf 2025 bylo oznámeno vydání nové verze 16 open source frameworku Next.js (Wikipedie) pro psaní webových aplikací v Reactu. Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    včera 23:33 | Komunita

    Sovereign Tech Fund oznámil finanční podporu následujících open source projektů: Scala, SDCC, Let's Encrypt, Servo, chatmail, Drupal, Fedify, openprinting, PHP, Apache Arrow, OpenSSL, R Project, Open Web Docs, conda, systemd a phpseclib.

    Ladislav Hagara | Komentářů: 0
    včera 13:11 | Nová verze

    Bylo vydáno OpenBSD 7.8. S předběžnou podporou Raspberry Pi 5. Opět bez písničky.

    Ladislav Hagara | Komentářů: 0
    včera 05:44 | Nová verze Ladislav Hagara | Komentářů: 2
    včera 05:22 | Bezpečnostní upozornění

    Byly publikovány informace o kritické zranitelnosti v knihovně pro Rust async-tar a jejích forcích tokio-tar, krata-tokio-tar a astral-tokio-tar. Jedná se o zranitelnost CVE-2025-62518 s CVSS 8.1. Nálezci je pojmenovali TARmageddon.

    Ladislav Hagara | Komentářů: 4
    21.10. 23:15 | Nová verze

    AlmaLinux přinese s verzí 10.1 podporu btrfs. XFS bude stále jako výchozí filesystém, ale instalátor nabídne i btrfs. Více informací naleznete v oficiálním oznámení.

    Max | Komentářů: 3
    21.10. 22:33 | IT novinky

    Společnost OpenAI představila svůj vlastní webový prohlížeč ChatGPT Atlas. Zatím je k dispozici pouze na macOS.

    Ladislav Hagara | Komentářů: 0
    21.10. 14:33 | Nová verze

    Desktopové prostředí KDE Plasma bylo vydáno ve verzi 6.5 (Mastodon). Přehled novinek i s videi a se snímky obrazovek v oficiálním oznámení. Podrobný přehled v seznamu změn.

    Ladislav Hagara | Komentářů: 3
    21.10. 13:55 | IT novinky

    Rodina jednodeskových počítačů Orange Pi se rozrostla (𝕏) o Orange Pi 6 Plus.

    Ladislav Hagara | Komentářů: 14
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (20%)
     (20%)
     (22%)
     (18%)
     (21%)
     (18%)
     (18%)
    Celkem 257 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu

    Zranitelnost CVE-2018-16858 odhalená v kancelářských balících LibreOffice a OpenOffice umožňuje spuštění libovolného kódu při otevření upraveného ODT dokumentu. Součástí balíků je totiž také Python interpreter se sadou knihoven, které zranitelnost využívá, neboť jedné z nich lze předat upravené parametry, které se spustí z příkazové řádky. Ukázka na YouTube. Zranitelnost je opravena v LibreOffice verze 6.0.7 a 6.1.3. Pro OpenOffice zatím oprava není [CSIRT.CZ].

    6.2.2019 12:44 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    pushkin avatar 6.2.2019 18:50 pushkin | skóre: 43 | blog: FluxBlog
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    Tzn.: LibreOffice už to má opravené několik měsíců (aktuální verze je 6.1.4, dostupná je 6.2.0 RC3), zatímco OpenOffice se při svém tempu vývoje opravy nikdy nedočká.
    Petr Tomášek avatar 7.2.2019 08:36 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    Hm, stejně to nechápu, jak se může cokoliv v textovém dokumentu automaticky spouštět při načtení.

    To jako tu budeme za chvíli mít CVE na Emacs, že se automaticky spustí kód z otevřeného textového souboru, jenom proto, že Emacs umí Lisp?

    Něco je v LibreOffice hodně špatně...
    multicult.fm | monokultura je zlo | welcome refugees!
    pushkin avatar 7.2.2019 09:21 pushkin | skóre: 43 | blog: FluxBlog
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    To je jednoduché - šlo o vnořené makro. Celý postup je zde. Není to tak, že by někdo otevřel ODT, ve kterém má napsaný úryvek zdrojáku, ale otevře ODT s makrem, které se po otevření automaticky spustí. To je mimo jiné důvod, proč LibreOffice i MS Office při otevírání dokumentů upozorňují na to, že dokument obsahuje makra.

    V tomto případě ale selhaly dva mechanizmy - první, upozornění na makra, a druhý, který by zabránil jiné aplikace. Možná by bylo zajímavé zkusit MS Office, jestli by se zachovaly obdobně ;-)
    Petr Tomášek avatar 7.2.2019 09:43 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    Pořád nechápu, proč by textový dokument měl obsahovat takové čurákoviny...
    multicult.fm | monokultura je zlo | welcome refugees!
    skunkOS avatar 7.2.2019 10:30 skunkOS | skóre: 27 | blog: Tak nějak
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    Možná pro to, že to není textový dokument.
    http://martinrotter.github.io
    Petr Tomášek avatar 7.2.2019 13:48 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    Co by to bylo jinýho?
    multicult.fm | monokultura je zlo | welcome refugees!
    k3dAR avatar 7.2.2019 15:50 k3dAR | skóre: 63
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    "ZIP-compressed XML-based file format"? viz
    porad nemam telo, ale uz mam hlavu... nobody
    Conscript89 avatar 7.2.2019 21:29 Conscript89 | Brno
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    Treba obrazek s kocickou. No jeste rekni ze nemas rad kocicky.
    I can only show you the door. You're the one that has to walk through it.
    7.2.2019 20:26 666
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    protoze ne kazdy pouziva textový procesor jenom na takove curakoviny jako je seznam na nedelni nakup...
    7.2.2019 22:58 Bubak | skóre: 16 | blog: Čtvrtá cenová
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    No normalne se mi nestava, ze bych s Petrem Tomaskem v necem souhlasil, ale tady se nemuzu nepridat. Co ma takova vec co delat v texto(-sracko, aby byli uspokojeni vsichni)-editoru? Ale pro me za me, v korporatu pouzivam, co mi daji, a na svete se bez techto sracek docela dobre obejdu...
    ... máš jen mrtvou kočku a poškrábanýho jezevčíka ...
    |🇵🇸 avatar 7.2.2019 23:23 |🇵🇸 | skóre: 93 | blog:
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    Protože to není editor, nýbrž procesor, a to nikoliv nutně textu, nýbrž dokumentů, které můžou být interaktivní.

    A to ještě není nic proti PowerPointu…
    🇵🇸Touch grass🇺🇦 ✊ ani boha, ani pána
    8.2.2019 11:27 kralyk z abclinuxu | skóre: 29 | blog:
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    Tady stojí za to upozornit, že python interpreter + explicitní spouštění nějakého skriptu není nutná podmínka pro spuštění kódu při otevírání dokumentu. Víceméně jakýkoli program napsaný v C/C++ nebo podobném jazyce čelí nebezpečí, že při parsování víceméně jakéhokoli netriviálního formátu potenciálně spustí kód.

    Tady se pravidelně pod zprávičkami o bezpečnostních chybách někdo rozčiluje, že JavaScript je sračka, že Python v dokumentech je "čurákovina" a že bez toho bychom neměli problémy. To je ale naivní názor. Bezpečnost je prostě těžká a stává se, že vzdálené spuštění kódu je možné i jen s nějakým "hloupým" formátem bez skriptů a za přítomnosti ochranných prvků jako NX bit apod.

    (Nicméně samozřejmě souhlasim, že ty skripty attack surface zvětšují.)
    6.12.2019 16:29 Barcelona Cooking Classes
    Rozbalit Rozbalit vše Re: Zranitelnost v LibreOffice a OpenOffice umožňuje spuštění libovolného kódu
    Tried and True Recipes means easy, elegant recipes and we promise, there are no novels and no life stories before the recipe.  Barcelona Cooking Classes

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.