Re: [tdf-discuss] security related information, CVE-2017-3157

classic Classic list List threaded Threaded
2 messages Options
Takeshi Abe Takeshi Abe
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: [tdf-discuss] security related information, CVE-2017-3157

皆様

CVE-2017-3157として報告されているCalcとWriterでの脆弱性が
LibreOffice 5.1.6/5.2.2/5.3.0
で修正されているという案内がありました。
上記より以前のバージョンを利用されている場合にはアップグレードすることを
お奨めします。

-- Takeshi Abe

On Wed, 22 Feb 2017 14:26:21 +0000, Caolán McNamara <[hidden email]> wrote:

> Fixed in LibreOffice 5.1.6/5.2.2/5.3.0
>
> ---
> CVE-2017-3157 Arbitrary file disclosure in Calc and Writer
> http://www.libreoffice.org/about-us/security/advisories/CVE-2017-3157
>
> Embedded Objects in writer and calc can contain previews of their
> content. A document can be crafted which contains an embedded object
> that is a link to an existing file on the targets system. On load the
> preview of the embedded object will be updated to reflect the content
> of the file on the target system. In the case of LibreOffice used as an
> online service that preview of data on the target system could be used
> to expose details of the environment LibreOffice is running in. In the
> case of LibreOffice as a standard desktop application, the preview
> could be concealed in hidden sections and retrieved by the attacker if
> the document is saved and returned to sender.
>
> In later version of LibreOffice without this flaw the LinkUpdateMode
> feature has been expanded to additionally control the update of
> previews of embedded objects as well as its prior function to control
> the update of embedded object contents.
> ---
>
> This is somewhat similar to
> https://www.libreoffice.org/about-us/security/advisories/CVE-2015-4551
> but instead of the *content* of an embedded link to a file getting
> updated this is limited to the *preview* of the file getting updated.
>
> --
> To unsubscribe e-mail to: [hidden email]
> Problems? http://www.libreoffice.org/get-help/mailing-lists/how-to-unsubscribe/
> Posting guidelines + more: http://wiki.documentfoundation.org/Netiquette
> List archive: http://listarchives.documentfoundation.org/www/discuss/
> All messages sent to this list will be publicly archived and cannot be deleted

--
Unsubscribe instructions: E-mail to [hidden email]
Posting guidelines + more: http://wiki.documentfoundation.org/Netiquette
List archive: http://listarchives.libreoffice.org/ja/users/
All messages sent to this list will be publicly archived and cannot be deleted
Akihiro Anezaki Akihiro Anezaki
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: [tdf-discuss] security related information, CVE-2017-3157

姉崎です。

Abe様、今さらですが、下記、情報ありがとうございます。

On 2017/02/23 9:40, Takeshi Abe wrote:
> CVE-2017-3157として報告されているCalcとWriterでの脆弱性が
> LibreOffice 5.1.6/5.2.2/5.3.0
> で修正されているという案内がありました。

各位殿

Windows7上で5.0.6を利用していたので、上記の情報から5.1.6に上げようとして、
いろいろ不具合に当たっています。

Impressのアニメーションがうまく動かない、と
3月のOSC Tokyo/Fallのブースにいらっしゃった大森さんに相談したのですが、
バージョンがゴチャゴチャになってしまったので、
今ごろ、ちょっと報告です。m(__)m

5.1.6 : アニメーションの「スライドイン」が「現れる」か何かになっているのか
    スライドインするアニメーションが動作しません。
    インストールし直して、Impressで新規に作成した文書で、矢印図形を描いて、
    アニメーションでスライドインを選択しましたが、再現します。

最新版5.3.xを使おうとすると、
 ツール→オプション LibreOffice 表示の「ハードウェアアクセラレーションの使用」
のチェックを入れないと、複数行の文字列の上からワイプのアニメーションで、
一瞬全行表示されてから消去して、1行ずつ表示と見えて、煩わしい表示になります。

チェックを入れると、5.3.1は良いのですが、今最新の5.3.3の文字列の左横からのワイプで
文字がギザギザに表示されて見栄えが悪いです。
これは「アンチエイリアシングを使用する」にチェックを入れても変わりません。


また、今回、会社指定のカラーパレットを使おうと、色の登録をして、

 ツール→「色の変換」

なるものがあって、使ってみようとしましたが、「置換」のボタンがグレーアウトのまま。

最新の5.3.3にしても、5.2.7、5.1.6にしてもグレーアウトのまま。
5.1.6では一瞬ボタンが有効になるように見えたので、
会社のPCの状況によるかもしれませんが、まだ、自宅で、未確認です。

取り敢えず、会社指定の色のカラーパレットを作成して、standard.docを置換。
5.3.1では、standard.docが表示されるのですが、
安定版の5.2.7では、デフォルトで「既定のカラーパレット」が表示されて、
線の色などは、カラーパレットが選択できないので、standard.docの色を選択できないです。

一方、5.3.xではカラーパレットのダイアログのレイアウトが崩れていて、
ハッチングのボタンとか切れています。
読み込み、書き込みのボタンも切れているのか表示されません。

と、どれを使っても、どこかに不具合があって、どれを使おうか困ったところです。
取り敢えず、
カラーパレットが選択できて、アニメーションがまともな5.3.1を使うつもりです。

認識違いも多々あるかもしれませんが、ご参考まで。

--


--
Unsubscribe instructions: E-mail to [hidden email]
Posting guidelines + more: http://wiki.documentfoundation.org/Netiquette
List archive: http://listarchives.libreoffice.org/ja/users/
All messages sent to this list will be publicly archived and cannot be deleted

Loading...