LINUX.ORG.RU

Целочисленное переполнение в OpenOffice 2.4.0

 ,


0

0

В версиях офисного ПО OpenOffice, включая 2.4.0, было обнаружено целочисленное переполнение динамической памяти при открытии документов. Удаленный пользователь может с помощью специально сформированного документа вызвать переполнение динамической памяти и выполнить произвольный код на целевой системе. Эксплойта нет, но на 16:30 MSD сборки 2.4.1 для русского языка и сборки от "Инфра-Ресурса" также нет. На официальном сайте исправленная версия присутствует только для английского и датского языков.

>>> http://www.securitylab.ru/vulnerability/354499.php

★★★

Проверено: Shaman007 ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

Пофиг, не использую.

GFORGX ★★☆ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

Оффициальная русская зборка уже доступна...*GET*

ZANSWER ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

То-то я смотрю, на FreeBSD порт ports/editors/openoffice.org-2 обновился.

Опять из исходников пересобирать, опять исправлять исходники Hypersonic DB в NetBeans под Йаву 1.6.

iZEN ★★★★★ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

пешите письма :-)

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

Пыыыщь... Это шо, опять компилить?

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

Уже обновляесо :)

Ещё часика два осталось компилить! )

Я просто в восторге от Gentoo, так быстро обновляют тут ebuild`ы.

keeper_b ★★★ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

Не видно эпидемий вирусов для OOo.

Aceler ★★★★★ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

Мне не очень понятна политика OO.o в отношении релизов, когда выпускается сперва английская версия, а потом, когда получится, появляются локализованные сборки. Почему не происходит заморозка вместе с кодом локализаций, а затем централизованная сборка релизов для всех языков?

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

Да не.

Вот эти файлики подправить в NetBeans, "реализовать" в них абстрактные методы:
jdbcBlob.java
jdbcCallableStatement.java
jdbcClob.java
jdbcConnection.java
jdbcDataSource.java
jdbcDatabaseMetaData.java
jdbcParameterMetaData.java
jdbcPreparedStatement.java
jdbcResultSet.java
jdbcResultSetMetaData.java
jdbcStatement.java
Все файлы находятся в каталоге ports/editors/openoffice.org-2/work/OOH680_m12/hsqldb/unxfbsdi.pro/misc/build/h sqldb/src/org/hsqldb/jdbc/

А потом подождать часов семь, пока скомпилиться и установится. :)

iZEN ★★★★★ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

блин. ЧЯДНТ, у меня не получается так медленно компилить(((((((((((

Arachnoid ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

Внимание товарищи! По последним данным информбюро на 16:30 по московскому времени сборки 2.4.1 для русского языка нет! Повторяем...

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

Хрен с ней. Скоро всё равно обновляться.

Уже вышла ванильная сборка очка 2.4.1. Там, надеюсь, этот баг покоцают.

Обновлюсь, когда выйдет русская сборка от инфры.

vold ★★★★★ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

нафиг это поделие тормозное. Юзаю KOffice

Voker57 ★★ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

>Экспоита нет, но на 16:30 по москве сборки 2.4.1 для русского языка и сборки от "Инфра-Ресурса" также нет. На официальном сайте исправленнная версия присутствует только для английского и датского языка.

Капитан, паника на борту! :-O

Очень сомневаюсь, что сплойт появится

X-Pilot ★★★★★ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

Российские кулхацкеры бросились писать эксплойт, пока в русской сборке не пофиксили баг...

IceAlchemist ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

То есть на 2.4 еще рано переползать с 1.x ;) ?

sS ★★★★★ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

По заведённой здесь традиции: опенофес RIP

anonymous ()
Ответ на: Re: Целочисленное переполнение в OpenOffice 2.4.0 от anonymous

Re^2: Целочисленное переполнение в OpenOffice 2.4.0

>>По заведённой здесь традиции: опенофес RIP

> Вот ты и спалилсо, вендузятнег!

Всякий правоверный линуксоед должен молиться на опенофис?

Voker57 ★★ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

> динамической памяти

А если у меня на процессоре достаточно Static RAM для выполнения опинофеса?

Gharik ()

Re: Re^2: Целочисленное переполнение в OpenOffice 2.4.0

>Всякий правоверный линуксоед должен молиться на опенофис?

Понимаешь, если откинуть все красноглазие и смотреть на вещи здраво - то ОпенОфис самый нормальный офис под Линукс. Прочие КОфисы и форки не в счет ибо развит наиболее сильно только ОО.

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

>А если у меня на процессоре достаточно Static RAM для выполнения опинофеса?

Да по тебе, мой милый друк, уже клиника плачет аж рыдает. Не разрушай ее надежды - действуй!

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

> А если у меня на процессоре достаточно Static RAM для выполнения опинофеса?

для "выполнения опенофиса" нужна память справа от процессора, а не на нем

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

>А если у меня на процессоре достаточно Static RAM для выполнения опинофеса?

Вся пафосность ситуации в том, что тебе пора завязывать с веществами.

Ты нехороший человек.

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

Априорно понятно, что в таких сложных проектах невозможно обойтись без ошибок. Ясно даже, что этих ошибок существует много.

ttnl ★★★★★ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

срать на переполнения, быдло вирусы скорее подцепит, чем какие-то атаки.

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

экспоит - это экспЛоЙт?

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

> Удаленный пользователь может с помощью специально сформированного документа вызвать

смеялся долго. с такими же усилиями можно уговорить пользователя запустить какой-то бинарник.

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

офез не нужно

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

Плохо что выпускают финальный релиз а потом спустя пару недель находят уязвимости. А еще не совсем понятно, почему он такой громозкдий... и почему так такая стрёмная система сборки :) спасибо что бесплатный

azure ★★ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

>А еще не совсем понятно, почему он такой громозкдий... и почему так такая стрёмная система сборки :)
$ emerge -s dmake
(бла-бла-бла)
Description: Improved make

Понятно? :-)

Но меня больше веселит процесс накладывания патчей, выполняющийся между распаковкой и началом компиляции и длящийся минут 15.

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

>В версиях офисного ПО OpenOffice, включая 2.4.0

Может быть "*Во* *всех* версиях офисного ПО OpenOffice, включая 2.4.0"?

// AX

anonymous ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

>Вот они - тяжелые будни бздишников :)


Ну чё, сёдня решился-таки.
Поправил Makefile; отредактировал в NetBeans файлики Hypersonic DB — адаптировал их для Sun JDK 1.6 (а то оно требует устаревшую Diablo-JDK 1.5)

В 16:50 поставил собираться.
В 22:30 всё собралось, заинсталлировалось, построился бинарный пакетик ru-openoffice.org-2.4.0_6.tbz (132,7 MB) для Athlon64.
(Машинка: Athlon X2 3800+/2ГГц, 2ГБ RAM)

Параллельно использовал машингу для сёрфинга в Интернете.

iZEN ★★★★★ ()

Re: Целочисленное переполнение в OpenOffice 2.4.0

А на КOffice оно работает? )

GreyDoom ★★★★ ()
Ответ на: Re: Целочисленное переполнение в OpenOffice 2.4.0 от anonymous

Re: Целочисленное переполнение в OpenOffice 2.4.0

>$ emerge -s dmake

>(бла-бла-бла)

>Description: Improved make

>Понятно? :-)

Нет, не понятно. Ну импрувед мейк, и что? как он связан с опенофисом в плане сборки, если портеж считает, что dev-util/dmake (is blocking app-office/openoffice-2.4.1) ?

azure ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.