ඔවුන් Apache OpenOffice හි බරපතල අවදානමක් සොයා ගත්හ

දින කිහිපයකට පෙර අවදානමක් හෙළිදරව් කරන ලදී බව හඳුනා ගන්නා ලදී Apache OpenOffice කාර්යාල කට්ටලයේ, මෙම දෝෂය යටතේ දක්වා ඇත CVE-2021-33035 විශේෂයෙන් සැකසූ ගොනුවක් ඩීබීඑෆ් ආකෘතියෙන් විවෘත කිරීමේදී කේත ක්‍රියාත්මක කිරීමට ඉඩ සලසයි.

ගැටලුව එයට හේතුව OpenOffice ක්ෂේත්‍ර දිග සහ ෆීල්ඩ් ටයිප් අගයන් මත විශ්වාසය තබන බැවිනි ක්ෂේත්‍ර වල සත්‍ය දත්ත වර්ගය පරීක්‍ෂා නොකර මතකය වෙන් කිරීම සඳහා ඩීබීඑෆ් ලිපිගොනු වල ශීර්ෂකය තුළ.

අවදානම ගැන

ප්‍රහාරයක් කිරීමට, ඔබට ඉන්ටජර් වර්ගය ෆීල්ඩ් ටයිප් අගය සඳහන් කළ හැකි නමුත් විශාල දත්ත ඇතුළත් කරන්න සහ ඉන්ටෙගර් දත්ත වල ප්‍රමාණයට නොගැලපෙන ක්ෂේත්‍ර දිග අගය සඳහන් කරන්න, එමඟින් ක්ෂේත්‍රයේ පෝලිම් දත්ත වෙන් කළ බෆරයෙන් ලියනු ඇත.

පාලිත බෆරයක් පිටාර ගැලීමේ ප්‍රතිඵලයක් ලෙසකර්තෘට නැවත පැමිණීමේ ලක්‍ෂණය නැවත අර්ථ දැක්වීමට හැකි වූ අතර නැවත කේන්ද්‍ර කරගත් ක්‍රමලේඛන (ආර්ඕපී) ක්‍රම උපයෝගී කරගනිමින් ඔහුගේ කේතය ක්‍රියාත්මක කිරීම සාක්‍ෂාත් කර ගැනීමට පර්යේෂකයාට හැකි විය.

අවදානමට ලක්වීමේ පර්යේෂණ ගමනේදී මට ලැබුණු එක් අවවාදයක් නම් නිශ්චිත මෘදුකාංගයක් නොව එක් ගොනු ආකෘතියක් කෙරෙහි අවධානය යොමු කිරීමයි. මෙම ප්‍රවේශයේ ප්‍රධාන වාසි දෙකක් තිබේ. පළමුවෙන්ම, ආරම්භකයකු වශයෙන්, එක් එක් යෙදුම් වල සුවිශේෂී ප්‍රහාරක දෛශිකයන් ඉක්මනින් හඳුනා ගැනීමට ඔබට පළපුරුද්දක් නොතිබූ අතර, ගොනු යෙදුම් විශ්ලේෂණය බොහෝ යෙදුම් අතර පොදු පිවිසුම් ස්ථානයක් විය හැකිය. 

අතිරේකව, පොදු ගොනු ආකෘති හොඳින් ලේඛනගත කර ඇත්තේ අදහස් සඳහා වූ ඉල්ලීම් (ආර්එෆ්සී) හෝ විවෘත කේත කේතය භාවිතා කර ආකෘතිය ප්‍රතිලෝම ඉංජිනේරුවරයා කිරීමට ගත යුතු ප්‍රමාණය අඩු කරමිනි..

ආර්ඕපී තාක්‍ෂණය භාවිතා කරන විට, ප්‍රහාරකයා ඔහුගේ කේතය මතක තබා ගැනීමට උත්සාහ නොකර, ඒ වෙනුවට වල කොටස් මත ක්‍රියාත්මක වේ පටවා ඇති පුස්තකාල වල දැනටමත් ලබා ගත හැකි යන්ත්‍ර උපදෙස්, පාලන ප්‍රතිලාභ ප්‍රකාශයකින් අවසන් වීම (රීතියක් ලෙස, මේවා ක්‍රියාකාරී පුස්තකාලයේ අවසානය).

සූරාකෑමේ කාර්යය ඇමතුම් දාමයක් තැනීම දක්වා පැමිණේ සමාන කුට්ටි වලට ("ගැජට්") අවශ්ය ක්රියාකාරිත්වය ලබා ගැනීම සඳහා.

OpenOffice හි සූරාකෑමේ උපකරණ ලෙස, OpenOffice හි භාවිතා කරන libxml2 පුස්තකාලයේ කේතය භාවිතා කළ බව සඳහන් වන අතර එය OpenOffice මෙන් නොව ආරක්‍ෂක යාන්ත්‍රණයන් නොමැතිව එකලස් කරන ලද DEP (දත්ත ක්‍රියාත්මක කිරීම වැළැක්වීම) සහ ඒඑස්එල්ආර් (ලිපින අවකාශ සැකැස්ම සසම්භාවීකරණය) )

ගැටලුව පිළිබඳව OpenOffice සංවර්ධකයින්ට මැයි 4 වන දින දැනුම් දෙන ලදී. ඉන් අනතුරුව අගෝස්තු 30 දා අවදානම පිළිබඳ ප්‍රසිද්ධ හෙළිදරව්වක් පැවැත්වීමට නියමිතව තිබුණි.

ස්ථාවර ශාඛාව දිනය යාවත්කාලීන නොකළ බැවින් සැලසුම් කර, සහවිමර්ශකයා විස්තර නිකුත් කිරීම සැප්තැම්බර් 18 දක්වා කල් තැබීය. නමුත් OpenOffice සංවර්ධකයින්ට 4.1.11 අනුවාදය තැනීමට වෙලාවක් නොතිබුණි. එම අධ්‍යයනයේදී මයික්‍රොසොෆ්ට් ඔෆිස් ඇක්සස් හි (සීවීඊ -2021-38646) ඩීබීඑෆ් ආකෘතියට සහය දැක්වීම සඳහා වූ සමාන අවදානමක් එම අධ්‍යයනයේදී හෙළි වූ බව සඳහන් කළ යුතු අතර ඒ පිළිබඳ විස්තර පසුව හෙළිදරව් කෙරෙනු ඇත. ලිබ්‍රෙ ඔෆිස් හි කිසිදු ගැටළුවක් හමු නොවීය.

DBase සඳහා වූ ගොනු ආකෘති ලියකියවිලි සොයා ගැනීම සාපේක්ෂව පහසුය; විකිපීඩියාවේ ආකෘතියේ 5 වන අනුවාදය පිළිබඳ සරල විස්තරයක් ඇති අතර ඩීබේස් එල්එල්සී විසින් යාවත්කාලීන කරන ලද පිරිවිතරයන් ද සපයයි. කොන්ග්‍රස් පුස්තකාලය ඩීබීඑෆ් ඇතුළුව ඇදහිය නොහැකි තරම් ගොනු ආකෘති නාමාවලියක් ලැයිස්තුගත කරයි. ඩීබීඑෆ් ආකෘතියේ විවිධ අනුවාදයන් සහ දිගු කිරීම් මඟින් ක්‍රමලේඛකයින්ට ස්කෑන් කිරීමේ දුර්වලතා හඳුන්වා දීමට ප්‍රමාණවත් අවස්ථාවන් ලබා දේ.

ඩීබීඑෆ් ආකෘතිය ප්‍රධාන කොටස් දෙකකින් සමන්විත වේ: ශීර්ෂකය සහ ශරීරය. ශීර්ෂකයට dBase දත්ත සමුදා අනුවාදය, අවසාන යාවත්කාලීන කාලරාමුව සහ අනෙකුත් පාරදත්ත විස්තර කරන උපසර්ගයක් ඇතුළත් වේ. වැදගත්ම දෙය නම්, එය දත්ත සමුදායේ එක් එක් වාර්තාවේ දිග, ශීර්ෂක ව්‍යුහයේ දිග, වාර්තා ගණන සහ වාර්තාවක ඇති දත්ත ක්ෂේත්‍රයන් ය.

ගැටලුව හඳුනාගත් පර්යේෂකයා වින්ඩෝස් වේදිකාව සඳහා ක්‍රියාකාරී සූරාකෑමක් ඇති කිරීම ගැන අනතුරු ඇඟවීය. විවෘත ඔෆිස් 4.1.11 ටෙස්ට් බිල්ඩ්ස් හි ඇතුළත් කර තිබූ ව්‍යාපෘති ගබඩාවේ ඇති පැල්ලමක් ලෙස පමණක් අවදානම සඳහා ඇති විසඳුම ලබා ගත හැකිය.

අවසාන වශයෙන්, ඔබ ඒ ගැන වැඩි විස්තර දැන ගැනීමට උනන්දුවක් දක්වන්නේ නම්, ඔබට මුල් සටහන මෙතැනින් විමසිය හැකිය පහත සබැඳිය.


ලිපියේ අන්තර්ගතය අපගේ මූලධර්මවලට අනුකූල වේ කතුවැකි ආචාර ධර්ම. දෝෂයක් වාර්තා කිරීමට ක්ලික් කරන්න මෙන්න.

අදහස් 2 ක්, ඔබේ අදහස් තබන්න

ඔබේ අදහස තබන්න

ඔබේ ඊ-මේල් ලිපිනය පළ කරනු නොලැබේ. අවශ්ය ක්ෂේත්ර දක්වා ඇති ලකුණ *

*

*

  1. දත්ත සඳහා වගකිව යුතු: මිගෙල් ඇන්ජල් ගැටන්
  2. දත්තවල අරමුණ: SPAM පාලනය කිරීම, අදහස් කළමනාකරණය.
  3. නීත්‍යානුකූලභාවය: ඔබේ කැමැත්ත
  4. දත්ත සන්නිවේදනය: නෛතික බැඳීමකින් හැර දත්ත තෙවන පාර්ශවයකට සන්නිවේදනය නොකෙරේ.
  5. දත්ත ගබඩා කිරීම: ඔක්සෙන්ටස් නෙට්වර්ක්ස් (EU) විසින් සත්කාරකත්වය දක්වන දත්ත සමුදාය
  6. අයිතිවාසිකම්: ඕනෑම වේලාවක ඔබට ඔබේ තොරතුරු සීමා කිරීමට, නැවත ලබා ගැනීමට සහ මකා දැමීමට හැකිය.

  1.   ඩියාගෝ වැලෙජෝ ප්රකාශ කළේය

    2021 දී OpenOffice තවමත් භාවිතා කරනවාද?
    LibreOffice.org හි සහය දක්වන බව ඔබ අසා නැද්ද?

  2.   පෝල් කෝමියර් ප්‍රධාන විධායක නිලධාරී රෙඩ් හැට්, ඉන්කෝපරේෂන්. ප්රකාශ කළේය

    විවෘත කාර්යාල යනුවෙන් හැඳින්වෙන එම සොම්බි භාවිතා කරන අය අද සිටීද?