Waxay ka heleen nuglaansho daran Apache OpenOffice

Darkcrizt

Daqiiqado 4

Maalmo ka hor nuglaansho la muujiyey taas ayaa la aqoonsaday gudaha xafiiska Apache OpenOffice, cayayaankan hoos ku taxan CVE-2021-33035 waxay u oggolaanaysaa fulinta koodhka marka la furayo fayl si gaar ah loo farsameeyay oo qaab DBF ah.

Dhibaatada waa sababta oo ah OpenOffice waxay ku tiirsan tahay qiyamka fieldLength iyo fieldType ee madaxa faylasha DBF si loogu qoondeeyo xusuusta iyada oo aan la hubin nooca xogta dhabta ah ee duurka.

Ku saabsan dayacanka

Si aad u fuliso weerar, waxaad ku qeexi kartaa nooca INTEGER qiimaha fieldType, laakiin ku rid xog ka weyn oo sheeg qiimaha GoobtaLength oo aan u dhigmin baaxadda xogta INTEGER, taas oo horseedi doonta xaqiiqda in xogta safka beerta laga qori doono kaydka loo qoondeeyey.

Iyada oo ay sabab u tahay xad -gudub la xakameeyey, cilmi -baaruhu wuxuu awooday inuu dib u qeexo tilmaamaha soo -noqoshada shaqada iyo adeegsiga farsamooyinka Barnaamijka Soo Jeedinta Dib -u -noqoshada (ROP), lagu gaaro fulinta xeerkiisa.

Hal talo oo aan helay horaantii safarka cilmi -baarista nuglaanta ayaa ahayd in diiradda la saaro qaabka faylka, ma aha qayb software gaar ah. Waxaa jira laba faa iido oo ugu weyn habkan. Marka hore, bilaw ahaan, waxaad weyday khibraddii aad si dhaqso leh ugu garto fallaadhaha weerarka gaarka ah ee codsiyada shaqsiyeed, halka falanqaynta qaabka faylka ay u badan tahay inay noqoto meel laga soo galo codsiyada badan. 

Intaa waxaa sii dheer, qaababka faylka caadiga ah ayaa si fiican loo diiwaangeliyay iyadoo la adeegsanayo Codsiyada Faallooyinka (RFCs) ama koodh furan, taasoo yareyneysa xaddiga dadaalka loo baahan yahay si loo beddelo injineerka qaabka..

Markaad adeegsanayso farsamada ROP, qofka wax weerara iskuma dayo inuu koodhkiisa xasuusiyo, laakiin taa beddelkeeda kaas oo ka shaqeeya qaybaha tilmaamaha mashiinka oo hore u yaal maktabadaha raran, ku dhammaanaya bayaanka soo celinta koontaroolka (sida caadiga ah, kuwani waa dhammaadka maktabadda hawlaha).

Shaqada ka -faa'iideysiga waxay hoos ugu dhacdaa dhisidda silsilado wicitaanno ah baloogyada la midka ah ("aaladaha") si aad u hesho shaqeynta loo baahan yahay.

Sida aaladda ka faa'iideysiga OpenOffice, waxaa la sheegay in koodhkii maktabadda libxml2 ee loo adeegsaday OpenOffice la isticmaalay, kaas oo, ka duwan OpenOffice, u soo baxay in la soo ururiyey iyada oo aan DEP (Ka -hortagga Fulinta Xogta) iyo ASLR (Meesha Cinwaanka) hababka ilaalinta. Kala -soocidda Layout).

Soo -saareyaasha OpenOffice waxaa la ogeysiiyay dhibaatada May 4, intaas ka dib waxaa loo balamay shaacinta nuglaanta 30ka Ogosto.

Maadaama laanta xasilloon aan la cusbooneysiin taariikhda qorshaysan, iyoBaaraha ayaa dib u dhigay sii -deynta faahfaahinta illaa 18 -ka Sebtember, laakiin horumariyeyaasha OpenOffice ma aysan haysan waqti ay ku dhisaan nooca 4.1.11 wakhtigaas. Waa in la ogaadaa in isla daraasaddan, nuglaansho la mid ah ayaa lagu muujiyey koodhka si loo taageero qaabka DBF ee Microsoft Office Access (CVE-2021-38646), faahfaahinta taas oo dib laga shaacin doono. Wax dhibaato ah lagama helin LibreOffice.

Dukumentiyada qaabka faylka ee dBase aad bay u sahlanayd in la ogaado; Wikipedia wuxuu leeyahay sharraxaad fudud oo ah nooca 5 ee qaabka iyo dBase LLC waxay kaloo bixisaa qeexitaan la cusbooneysiiyay. Maktabadda Koongarasku waxay liis garaysaa liisaska cajiibka ah ee qaababka faylka, oo ay ku jiraan DBF. Noocyada kala duwan iyo fidinta qaabka DBF waxay siinayaan fursado ku filan barnaamijyada si ay u soo bandhigaan nuglaanta iskaanka.

Qaabka DBF wuxuu ka kooban yahay laba qaybood oo waaweyn: madaxa iyo jirka. Cinwaanka waxaa ku jira horgale qeexaya nooca xogta dBase, timestamp -kii ugu dambeeyay, iyo metadata kale. Waxaa ka sii muhiimsan, waxay qeexaysaa dhererka diiwaan kasta oo ku jira keydka xogta, dhererka qaab dhismeedka madaxa, tirada diiwaanada, iyo meelaha xogta ee diiwaanka ku jira.

Cilmi -baadhaha oo aqoonsaday dhibaatada ayaa ka digay abuurista ka -faa'iideyste shaqeynaya oo loogu talagalay daaqadda Windows. Hagaajinta u nuglaanta waxaa kaliya oo loo heli karaa sida balastarka keydka mashruuca, kaas oo lagu daray imtixaanka OpenOffice 4.1.11.

Ugu dambayn, haddii aad xiisaynayso inaad wax badan ka ogaato, waxaad la tashan kartaa qoraalka asalka ah ee xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.

  1.   Sawirka meeleynta Diego Vallejo dijo
    samee 3 sano

    OpenOffice weli ma la adeegsadaa 2021?
    Miyaadan maqlin in ay jirto LibreOffice.org?

    Jawaab Diego Vallejo
  2.   Paul Cormier oo ah maamulaha guud ee Red Hat, Inc. dijo
    samee 3 sano

    Ma jiraan dad maanta isticmaala zombie -gaas oo la yiraahdo openoffice?

    U jawaab Paul Cormier CEO Red Hat, Inc.