OpenOffice.org security csapat a "Az OpenOffice is érintett a 0day Microsoft Word sebezhetőségben"-ről

LibreOffice, OpenOffice.org

Az elmúlt napokban szárnyrakaptak az interneten olyan hírek, miszerint az OpenOffice.org egyes kiadásai is érintettek lehetnek a Microsoft Word-öt sújtó legfrissebb kódfuttatásos sebezhetőségben. A OOo biztonsági csapat megvizsgálta a szóban forgó esetet, és a mai napon kiadta állásfogalását. Ebben az olvasható, hogy a legfrissebb MS Word exploit nem érinti biztonsági szempontból az OOo Writer-t.

Legalábbis a csapat nem tekinti biztonsági hibának azt, hogy a speciálisan összeállított dokumentum miatt összeomlik a OOo. A csapat megvizsgálta a sebezhetőséget, és arra jutottak, hogy az OOo nagyon nagy, vagy érvénytelen méretű memóriát próbál lefoglalni a proof-of-concept dokumentum megnyitása során, és ennek következtében egyszerűen összeomlik. A csapat nem látja, hogy ezt hogyan lehetne kódfuttatásra felhasználni. Kétségtelen tény, hogy ez hiba, de nem biztonsági hiba. - állítja blogjában Malte Timmerman. A hibára készült már patch ami a 2007 februárjában megjelenő OOo 2.2-ben benne is lesz.

( snq- | 2006. 12. 19., k – 20:29 )

Hunger, a legkevesebb hogy bocsánatot kérsz, mert napokig rettegésben éltünk

ha most az időpontokra célzol, azért sikerült viszonylag hamar reagálni az örömteli hírre, mert a portálmester nem sokkal megelőzően egy másik - nem kevésbé szórakoztató - szálban már előre bejelentette, hogy hamarosan nagy horderejű, leleplező cikkben fogja - véget vetve a kínzó bizonytalanságunknak - tudatni, hogy a nevezett ooo kód elképzelhető, hogy nem úgy szar, hogy veszélyes is, csak szimplán.
ennek (és annak, hogy várhatóan másfél-két hónap múlva kiadásra kerül a javítás) én - mint aktív ooo user - természetesen örülök

egyébként nagyot üt a szádból a szánalmas szó

Csak egy nemetnek juthat eszebe nemetul kommentezni egy kodot. Egyebkent egy nemet multinal faragtam/faragom a biteket, penteken tavozom a cegtol. De osszesegeben az a velemenyem, hogy a szoftverfejlesztes nehezen osszeegyeztetheto a nemet lelekkel, tisztelet a kivetelnek. Neha amikor egetrengeto baromsagokat latok, akkor szoktam mondani, "Nem tudnak a nemetek mast, csak masirozni, meg karlengetni, az valo nekik nem a szoftverfejlesztes".

Ezt nem tudtam, igy mar ertheto, bar en a magyar szoftvereket is angolul kommentezem, mert mar megszoktam, masreszt aki alapszinten nem tud angolul, es szofvert akar fejleszteni az inkabb ne is foglalkozzon vele.
Masreszt az uj allas keresesenel szamomra, kizaro tenyezo volt a nemet tulajdon, szerencsere igy is sikerult talalnom.

( Oscon | 2006. 12. 19., k – 23:28 )

Azért viccen kívül egy nagyon fontos tény miatt azért látszik a különbség a MS Word és az OOo között.

Az egyik előállt patch-el a hibára, a másik meg nem.

Persze tudom, másképp reagálnak a hibára, de akkor is. Ennek szerintem komoly üzenetértéke van.

--------

Nem a zsömle kicsi, a pofátok nagy...

Az hogy van egy .patch file, még nem jelenti azt, hogy a userek jórésze tud vele mit kezdeni...
Jórészüknek 2007 februárja előtt valószínűleg nem lesz javítva a hiba, hisz csak addigra ígérik a 2.2-es verziót (egy részük meg arra se fog frissíteni egyből).

Szóval ez a 'patchel milyen gyorsan előálltak' téma már lerágott csont. Persze, van forrás alapú patched, de ezt egyrészről egy nagyvállalatnál (több ezer klienssel) nem fogják alkalmazni, hanem várnak a következő verzióra vagy pedig a disztribútor javítására. Mivel azonban úgy értékelték, hogy a hiba nem súlyos, ezért gyaníthatóan a disztrók se fognak kihozni új hibajavított csomagokat.

Hát nagyvállalat szinten nem hiszem hogy ma még OOo-t használnának, de mondjuk tévedek. de ha mégis , azért ott egy frissítést általában le szokás tesztelni néhány tipikus gépen , hogy miképpen működik, használt programtól, rendszertől függetlenül. Ott azért erre kell legyen kapacitás. Nyílván anno Windows XP SP2-nek sem estek neki, hogy akkor majd úgyis automatán frissül és minden jó lesz. és ez a patch azért ránézésére, nem egy olyan húdenagy horderejű változás.

Egyébként a hiba jelen állás szerint biztonsági szempontból talán tényleg nem súlyos ma még, stabilitási szempontból már aggasztóbb szerintem. Mert nálam ugye a többi már megnyitott dokumentum, táblázat, stb. is repül a memóriából kifele, amint a módosított cuccost próbálom megnyitni...

Meg aztán valahogy nem túl jó reklám az, hogy ha megnyitja a "Word dokumentumot", összes korábban megnyitott nem mentett "Excel táblája" is elveszik...

lehet holnap meg is próbálom elkészíteni / ettől a pacstől csak nem akad ki / az új .deb csomagokat saját használatra. ma már késő van. illetve ma (?).

--------------

Nem a zsömle kicsi, a pofátok nagy...

Hát azzal engem nem segítettek ki ugyebár. (sarge). holnap /ma/ ugyis egy cosmó dolgom , szépen elindítom a csomaggenerálást, mire hazaérek vagy kiakadt error 1/2-vel, vagy lehet elkészül, nem forgattam még OOo-t , nem'tom mennyi ideig fog tartani.

------

Nem a zsömle kicsi, a pofátok nagy...

Hát nagyvállalat szinten nem hiszem hogy ma még OOo-t használnának

Ezzel a kijelentéssel most alaposan megbántottad a Közösséget! :)
Egyébként meg az átlag otthoni user méginkább szarik a securityre (nem is követi a hibajelzéseket), tehát ott meg pláne nincs miről beszélni.

azért ott egy frissítést általában le szokás tesztelni néhány tipikus gépen , hogy miképpen működik, használt programtól, rendszertől függetlenül. Ott azért erre kell legyen kapacitás.

Hogy a pöcsbe lenne rá "kapacitás" (erőforrás), ne legyél már ennyire naív. Egy cégnél használnak akár több száz szoftvert, szerinted hány ember kellene ahoz, hogy nyomon kövessék az összes szoftverrel kapcsolatos fejlesztést, hibajegyeket és security (vagy annak tűnő) bugok esetén patcheljék a _forrást_, aztán lefordítsák (a teljes OOo lefordítása kb. 10 óra), teszteljék többféle környezetben, majd telepítsék. Ha csak az OpenOffice lenne az egyetlen szoftver amit használ egy cég, akkor is mire végeznek egy ilyen művelettel már lenne 20 másik patchelendő bug...

ez a patch azért ránézésére, nem egy olyan húdenagy horderejű változás.

Nem, ellenben ilyen szintű patchből van több is naponta. Az MS sem lustaságból patchel ilyen lassan, hanem mert olyan nagyban képtelenség ennél rövidebb idő alatt kijönni egy hibajavítással. (QA, QA, QA...)

Egyébként a hiba jelen állás szerint biztonsági szempontból talán tényleg nem súlyos ma még

Persze hogy nem, de ha az lenne akkor se számítana, mivel olyan kicsi a felhasználói bázisa, hogy nem érdemes rá exploitot írni.

stabilitási szempontból már aggasztóbb szerintem. Mert nálam ugye a többi már megnyitott dokumentum, táblázat, stb. is repül a memóriából kifele, amint a módosított cuccost próbálom megnyitni...

Mivel közös erőforrást használnak fel a párhuzamosan futtatott szoftver komponensek, ezért az egyik halála magával tudja rántani a többit is. Nincs ez másképp az MS Officenál sem.

Ilyen bugokból rengeteg van egy ekkora szoftvercsomagnál, szóval ezért kár is aggódni. :)

lehet holnap meg is próbálom elkészíteni / ettől a pacstől csak nem akad ki / az új .deb csomagokat saját használatra.

Ha végeztél, akkor nézz rá az azóta megjelent hibákra és patcheld azokat is:

http://qa.openoffice.org/issues/buglist.cgi

Sok szerencsét! ;-)

No akkor pontról-pontra:

home userként is frissítek, és sztem nem vagyok ezzel egyedül - persze ha a home user=win user képet látod csak, akkor igazad van...

Melyik az a nagyvállalat, ahol száznál is több szoftvert _használnak_ aktívan? Ha csak feltételezem, hogy mondjuk 100 _teljesen_ eltérő munkakör van egy vállalatnál, és mindegyik vmilyen többé kevésbé célszoftvert használ, eléggé leszűkítettük a kört ;).

Dobj már egy linket légyszi, ahol megnézhetem, h ilyen patch-ból, ami minden platform minden verzióját érinti, milyen sűrűn is van, mert a hivatkozott linken mintha kevesebb lenne...

Egy ms word file-okhoz kapcsolódó hibához már egyébként miért írnának akár egy 1000-szer nagyobb felhasználói bázisú programhoz is exploitot? Szerintem nem nagyon függ ez össze a felhasználói bázissal ez esetben... (mondjuk találnak egy bugot az illustrator formátumához, amitől ha corelbe importálom, az is elhasal, valószínűleg nem kell tartanom attól, hogy tele lesz a világ ai-ban irt corel exploitokkal :) )

Bizonyára napi 24 órában nyúzod az ooo-t, (meg a többi hasonló méretű szoftvercsomagot), hogy ilyen biztosan állítod ezt. Nekem a munkahelyemen és otthon kevesebbet fut, de nem futottam még olyan hibába, hogy mondjuk elhasalt a writer, és magával vitt minden megnyitott cuccost.

Éééértem már mit jelenthet az ms-nél a QA :) "ne strapáld magad peccseléssel, holnap meg holnapután úgyis találnak még egy csomót, majd hóvégén gyorsan össszegyűjtjük az összeset és megcsinájjuk. Nehogymá egyenként legyen javítva!"
Nos, nem kötelező patch-elni, meg csinálni binárist, lehet használni havi 1 vagy még kevesebb frissítést/javítást kapó szoftvert, jó szórakozást hozzá...

De felesleges ilyen meddő és parttalan vitákba belemenni, még jó, hogy ritkán érek rá... :-D

"home userként is frissítek, és sztem nem vagyok ezzel egyedül"

gondolom van még pár elvetemült, de azért a legtöbb embernek nem ezért fizetnek.

"Melyik az a nagyvállalat, ahol száznál is több szoftvert _használnak_ aktívan?"

lol..nem dolgozok nagyvállaltál de azért szép listát tudnék írni csupán _szoftvercsoamgokból_ is, és akkor még a nyavajás komponensekről nem is beszéltünk.

"Szerintem nem nagyon függ ez össze a felhasználói bázissal ez esetben.."

Ezt most ugye nem mondod komolyan?

Ami meg a _nem_ MS frissítést illeti: szerinted más disztribútor/gyártó hogyan oldja ezt meg? Se a Canonical, se a Novell, se a Red Hat nem nyomja kapkodó idegbeteg módjára a frissítést minden kis patch után. A legutolsó Novelles frissítésben a kernelpatch vagy 4 security frissítést tartalmazott, és ez kb 1 hónap termése. Tutira nem up-to-date, ellenben működik (úgy ahogy, de azt is azután miután a francos hálókrátya drivert hozzáheggesztem az aktuális al-al-al verzióhoz).

de nem futottam még olyan hibába, hogy mondjuk elhasalt a writer, és magával vitt minden megnyitott cuccost.

LOL, biztos nem hasznalod

legutobb mikor OOo-t lattam valakit hasznalni, az egy osx fikazo debianuser volt (mellesleg eleg nagy cegeknel volt linux admin evekig), akinel ugye az OOo a felig letoltott doc/xls-oktol elszallt a gecibe

nem volt hozza tobb kerdesem, foleg hogy azelottinap a thunderbird volt bugos nala

sidenote: azota elegedett ibook/OSX felhasznalo lett, most veszi a masodik mac notebookjat

En rendszeresen belefutok olyan hibakba MSO-nal, hogy a megnyitott dokumentumba belirok par karakter elszall, megnyitom a doksit es modositas nelkul el akarom menteni elszall, stb. Ezeket a doskikat OO.Org siman megnyitja elmenti kezeli, es az OO.Org-os mentest mar az MSO is kezeli rendesen.

York.

------
"Nyugi! Minden a legnagyobb rendben csúszik ki a kezeim közül..."

Oszinten megvalva, nem sokat foglalkoztam veluk, en vegeztem a dolgom, kerdeseket se en tettem fel, en csak nehany erdekesseget hallottam. Itt voltak nehany napot abbol en kb. 1-2 orat toltottem a tarsasagukban.

York.

------
"Nyugi! Minden a legnagyobb rendben csúszik ki a kezeim közül..."

home userként is frissítek, és sztem nem vagyok ezzel egyedül - persze ha a home user=win user képet látod csak, akkor igazad van...

Hagy kérdezzem meg... és forrásból teszed mindig mindezt? Mert erről volt szó a fentebb.

Dobj már egy linket légyszi, ahol megnézhetem, h ilyen patch-ból, ami minden platform minden verzióját érinti, milyen sűrűn is van, mert a hivatkozott linken mintha kevesebb lenne...

Szerintem elég világos a link amit írtam, nem olyan bonyolult egy bugtracker használata. Ha te egy hibát sem találtál, akkor valószínűleg nálad van probléma. :)

Bizonyára napi 24 órában nyúzod az ooo-t, (meg a többi hasonló méretű szoftvercsomagot), hogy ilyen biztosan állítod ezt. Nekem a munkahelyemen és otthon kevesebbet fut, de nem futottam még olyan hibába, hogy mondjuk elhasalt a writer, és magával vitt minden megnyitott cuccost.

Ha rákeresel a crash szóra a bugtrackerben, azért találsz pár száz ilyen jellegű (még nem javított) hibát. Persze nyilván nem mindegyik érinti a te verziódat (mert mondjuk csak kínai karaktereknél jön elő, vagy csak bizonyos verziónál), de azért lássuk be, ha egy disztró rendesen akarja követni a hibajavításokat a saját változatánál, akkor ezeket is bele kellene venni és akkor vagy naponta kihoz több csomagot, vagy megpróbál priorizálni és ha összejön bizonyos mennyiség (vagy időközönként, mint ahogy MS teszi -> "Patch Tuesday"), akkor adja ki a javítást.

Éééértem már mit jelenthet az ms-nél a QA :) "ne strapáld magad peccseléssel, holnap meg holnapután úgyis találnak még egy csomót, majd hóvégén gyorsan össszegyűjtjük az összeset és megcsinájjuk. Nehogymá egyenként legyen javítva!"

Bár nem ezt írtam előző hozzászólásomban sem, de lásd fentebb a magyarázatot...

Nos, nem kötelező patch-elni, meg csinálni binárist, lehet használni havi 1 vagy még kevesebb frissítést/javítást kapó szoftvert, jó szórakozást hozzá...

No comment.

De felesleges ilyen meddő és parttalan vitákba belemenni, még jó, hogy ritkán érek rá... :-D

Igen, főleg ha nem vagy párttatlan.

ha összejön bizonyos mennyiség (vagy időközönként, mint ahogy MS teszi -> "Patch Tuesday"), akkor adja ki a javítást.

AZ MS ez talán rossz példa volt, mert az MS officeban levő "crash" problémáknál ez még oké el is fogadom, de amikor 0-day exploitok már ki jöttek az éppen aktuális MS office/Internet Explorer "extremely critical" bugokra, akkor már be kellene látni, hogy a "csakazértisjövőkedden" műsor már nem igazán korrekt, azt soron kívül be kellene foltozni. Mégis inkább vállalják a csúszást, és időnként elég nevetséges workaround javaslatokkal jönnek elő.

"crash" ügyben amúgy meggyőztél, mégsem foglalkozom a dologgal egyenlőre az OOo ügyben. / persze ha kijön mégis, hogy sec. probléma mégis, akkor majd leforgatom. :)

----------

Nem a zsömle kicsi, a pofátok nagy...

akkor már be kellene látni, hogy a "csakazértisjövőkedden" műsor már nem igazán korrekt, azt soron kívül be kellene foltozni.

azert nezzel mar korul, nem mindenki vallalja be a hobbilinuxosok mentalitasat hogy kibasznak egy fixet aztan vagy jo vagy nem.. wint picit tobben hasznalnak, eshat naluk nem prioritas osconpistike warezwinjet autopatchelni 24/7, ellenben van akiket igen

szakertes bazmeg

Ezt a keddenként pecselünk c. műsort pár éve vezették be...azelött azért az MS reakciódeje emlékezetem szerint nagyságrendekkel jobb volt. és az elkurtpecsek száma sem nagyon volt több, persze ez szubjektív inkább emlékeken alapul.

AZ is igaz hogy az akkori windowsok, officeok nem voltak ennyire robosztusak.

-----

Nem a zsömle kicsi, a pofátok nagy...

Ezt el tudom fogadni apróbb bugoknál, de mikor már 0day exploit vannak kint, akkor be kellene foltozni soron kívül.

És nem is egyedi esetekről van szó, most már hónapok óta folyamatosan nagyon súlyos hibák maradnak hetekig pecseletlenül többnyire az officeban. ez nem megoldás szerintem. Ha szerinted az, akkor kedves egészségedre... ;-)

Ráadásul itt nem is Windows kernel pecsről van szó, ami a rendszer instabilitását veszélyeztetné... ;-)

Amúgy meg számtalanszor előfordult hogy MS kibaszta a pecset, aztán szépen kiderült, hogy xyz eszköz (tipikusan nyomtató) nem működik , fagy estébé. Vagy jobb esetben néhány program rendszerszolgáltatásként futó komponense adja meg magát. MS mutogat a gyártóra, gyártó mutogat az MSre, user meg szopik. szóval ennyit a nagy tesztelésről, meg a "...nem basszuk a ki a fixet..." c. műsorról.

osconpistikének nincs warezvinje, nem is pistike. :-), de ez off. ;-))

------

Nem a zsömle kicsi, a pofátok nagy...

"Jórészüknek 2007 februárja előtt valószínűleg nem lesz javítva a hiba, hisz csak addigra ígérik a 2.2-es verziót (egy részük meg arra se fog frissíteni egyből)."

Valószínűleg ez azért lehet, mert a hiba nem kritikus, és egyelőre csak criple .dok formátumok megnyitása (értsd szándékosan így összetákolt) esetén jön elő? Ha biztonságilag kritikus lenne, akkor IMHO már javították volna, és vagy kiadták volna a javított verziókat, vagy legalábbis készülnének ilyesmire.

--
trey @ gépház

A forrás alapú .patch fileról volt szó, mint felhasználható javításról. Én erre mondtam, hogy ezt az átlag userek nem fogják használni, se a nagyvállalatok (hisz kevesen fordítgatják forrásból az OpenOfficet :), így teljesen érdektelen arra hivatkozni, hogy van rá javítás. Persze nem kritikus a hiba, de mint "reliability fix" sem lesz elérhető előbb bináris formában, csak a következő verziónál.

Szóval jó dolog a forrásban elérhető patch, de a legtöbb ember úgy sem él vele és ez érthető is.

Az egyik előállt patch-el a hibára, a másik meg nem.

sidenote: pl osx alatt a tobbi update-el egyutt jonnek a Pages, Keynote, etc patch-ek is, es nem az van hogy "jovan majd februarban kitolunk egy tarballt"

ugy tudom win alatt is igy van, igy nem ertem mirol beszelunk

Konkrétan erre a hibára gondoltam, merthogy ugye ez most "aktuális" sajnos, és mindkét irodai motyót igaz "eltérő módon", de azért érinti, ugyanaz az "exploit" érinti mindkét cuccost, ilyen korábban tudtommal nem volt, ez precedensértékű, vagyhogy mondják...

Openoffice legalább valamilyen patch-el előállt, amit user belátására bíz, beüzemeli vagy sem. Hungernek igaza van a kritikát illetően, hogy ez azért messze nem teljes értékű patch, meg mondjuk a beüzemelése sem éppen két perc (nem'tom mennyi idő alatt fordul OOo.), meg hogy egy csomó hasonló hiba van még amire nincs patch, stb... Azt hogy valóban "csak" OOo stabilitási és nem biztonsági probléma-e, azt az idő fogja eldönteni. ;-)
De akkor is, valami reakció, megfejtési javaslat ugyanerre azért van.

De az MS "ugyanebben az ügyben" - ráadásul az ő terméküket súlyosabban érinti, mert kódfuttatást is lehetővé tesz a cuccos, semmilyen patchet a világon nem produkált.A workaround javaslatuk meg inkább röhögés tárgyát képezheti...

-----

Nem a zsömle kicsi, a pofátok nagy...

( csorfab | 2006. 12. 20., sze – 10:24 )

Hm a TextEdit nem omlik össze tőle :)