Pericolose falle in OpenOffice.org

[Cimmo]

Quote:

Originariamente inviato da diabolik1981

Spero anche io che la falla sia corretta nel più breve tempo possibile. C'è però una considerazione da fare: l'autoupdate è in funzione solo dalla versione 2.1 (correggetemi se sbaglio, ma in ogni caso non c'era nelle versioni precedenti alla 2), quindi per tutti quelli che sono fermi a vecchie versioni, come si risolveranno i problemi?

credo che l'autoupdate fosse funzionante nelle 2.0.x solo nella versione inglese e dalla 2.1 per tutti, certo e' comunque una bella magagna...

[-fidel-]

Mi sa che per chi, sotto windows, non ha la versione di OO con Autoupdate, dovrà disinstallare e reinstallare la nuova "build" già patchata (e così avrà anche l'Autoupdate per il futuro).
Per gli utenti linux nessun problema, visto che viene aggiornato automaticamente dai repositories.

[LAj]

Quote:

Originariamente inviato da Cimmo

si ma stiamo aspettando il link di quello che hai affermato, ci interessa poco quello che sei o cosa fai o quanti pc al giorno vedi...
Cmq quelle dichiarazioni non sono certo di Sun o degli sviluppatori di openoffice quindi vedrai che risolveranno il problema, ci risentiamo tra qualche giorno per la patch...

Vi rimando ancora sul sito secunia.com dove potrete vedere le statistiche relative a queste falle
...sia per OO che per MSOffice.
Ve lo consiglio ;-)

[-fidel-]

Ragazzi, una sola nota.
Uso OOo sotto linux, ed un paio di giorni fa OO è stato aggiornato dal sistema di update automatici di Suse (ho anche il repositories degli aggiornamenti di OpenOffice separatamente, ma veniva aggiornato anche tramite il repo di updates di sicurezza incluso di default in suse 10.2).
Bene, ho visto il changelog del pacchetto aggiornato e, con soddisfazione, ho visto che i bug 2) e 3) menzionati sul report di Secunia (linkato nella news) sono già stati risolti e l'aggiornamento mi ha quindi corretto quei due bugs
Per il bug 1) invece mi pare non ci sia ancora nulla.

[GmG]

Quote:

Originariamente inviato da -fidel-

Ragazzi, una sola nota.
Uso OOo sotto linux, ed un paio di giorni fa OO è stato aggiornato dal sistema di update automatici di Suse (ho anche il repositories degli aggiornamenti di OpenOffice separatamente, ma veniva aggiornato anche tramite il repo di updates di sicurezza incluso di default in suse 10.2).
Bene, ho visto il changelog del pacchetto aggiornato e, con soddisfazione, ho visto che i bug 2) e 3) menzionati sul report di Secunia (linkato nella news) sono già stati risolti e l'aggiornamento mi ha quindi corretto quei due bugs
Per il bug 1) invece mi pare non ci sia ancora nulla.

Il primo bug è stato risolto, basta aggiornare la libwpd alla versione 0.8.9

http://secunia.com/advisories/24507/

[Pandrin2006]

Quote:

Originariamente inviato da GmG

Il primo bug è stato risolto, basta aggiornare la libwpd alla versione 0.8.9

http://secunia.com/advisories/24507/

Ci hanno messo 3 mesi per correggerlo:
VIII. DISCLOSURE TIMELINE
01/11/2007 Initial vendor notification
01/12/2007 Initial vendor response
03/16/2007 Coordinated public disclosure
http://labs.idefense.com/intelligenc...lay.php?id=490

Chi è che diceva che il software open rilascia patch in 2 giorni?

[liviux]

Quote:

Originariamente inviato da alzaz

... dimenticate un dettaglio fondamentale ... OO è tutto gratis e nonostante ciò rappresenta una validissima alternativa alle + blasonate (e costose) suites da ufficio ... x cui nessuna critica distruttiva e fiduciosa attesa nei sicuri miglioramenti che verranno apportati in futuro!!

Non credo che si faccia un favore alla diffusione del software libero affermando "Cosa pretendi? E' gratis!" Magari la cosa non ti interessa, ma non rappresenta certo un'apprezzamento della qualità del software in questione. Per come la vedo io (scusate se mi ripeto), è sbagliato vedere OOo come un "quasi Office" che "va bene per il 90% degli usi". E' un altro prodotto con le sue peculiarità: certe cose le fa anche meglio, altre non le fa, ma non è certo un banale "sottoinsieme" di MSO.

P.S.: Per piacere, evitiamo di parlare di "problemi con la Finanza". Il problema non sono i controllori, ma il rispetto delle regole.

[supermarchino]

Quote:

Originariamente inviato da Stargazer

OO lo usano pure nei studi di commercialisti che fatturano diversi centinaia di migliaia di euro l'anno

Difficile credere che non possono permettersi la suite M$ da ufficio però

Sarei giusto contento se questa gente si becca virus o quant'altro

A quale disinformata frustrazione si deve tutto questo livore?

Per inciso l'adozione di openoffice rispetto a office non è mera questione di 'seconda scelta' dovuta a minore disponibilità finanziaria nella scala sociale, come immaginano i tuoi meccanismi.

Ci sono soprattutto altri aspetti, tra cui il formato certificato ISO e dalla CE, la maggiore garanzia di riservatezza per l'assenza del problema dei metadati. Ho visto più di una figura meschina a causa di *.DOC spediti per email zeppi di metadati, e più di una stazione di lavoro resa di fatto inservibile da files di office cresciuti all'inverosimile e divenuti per ciò intrattabili da parte dello stesso office...
Quanto ai virus è molto più facile beccarli per posta grazie a outlook e al suo derivato.
In ogni caso in qualunque realtà legata al principio di economicità il risparmio a parità di prestazioni richieste è d'obbligo.
In questi termini va impostato il problema.

[share_it]

probabilmente gran parte delle distribuzioni linux di oggi non temono questo tipo di bug, per via delle protezioni sullo stack di memoria.

[Elettrocinghia]

Mah, io ho installato in ufficio sia MS Office che operoffice. Uso entrambi da anni in maniera pesante e, devo dire, che nel confronto tra Excel ed il suo corrispondente secondo me OpenOffice risulta vincitore, ed anche di molto. Ho trovato diversi bug o comunque "scomodità d'uso" di varie funzioni di excel, che in OpenOffice invece funzionano correttamente e che quindi mi fanno risparmiare un sacco di tempo...

[jappilas]

Quote:

Originariamente inviato da Stargazer

OO lo usano pure nei studi di commercialisti che fatturano diversi centinaia di migliaia di euro l'anno

questo mi fa pensare a due cose: o questi studi hanno esigenze di lavoro che non giustificherebbero l' esborso per le caratteristiche di MS Office, o OpenOffice.org è maturo abbastanza per soddisfare le esigenze anche di tali professionisti

Quote:

Difficile credere che non possono permettersi la suite M$ da ufficio però

perchè devono essere costretti a usare MS Office, se OOo soddisfa le loro esigenze?

Quello che davvero mi interessa è che i dati sensibili che riguardano me (loro eventuale cliente), vengano conservati ed utilizzati con sicurezza e serietà - quello degli strumenti impiegati non è un problema mio ...
al più, posso farmi un' opinione migliore (di maggiore serietà, di attenzione anche per problematiche relativamente marginali) su un professionista che utilizzi uno strumento open source, piuttosto che l' alternativa commerciale ( magari senza aver pagato la licenza ) ...
o posso giudicare positivo che sia sia scelto uno strumento orientato ad un formato di salvataggio dei documenti completamente aperto, quindi uno potenzialmente in gradi di dare ai dati stessi, una continuità (nel senso di riutilizzabilità e accessibilità da parte di applicazioni compatibili con quel formato, anche laddove questa non sia necessariamente OOo) più alta possibile ...

Quote:

Sarei giusto contento se questa gente si becca virus o quant'altro

io sinceramente no... questa gente" può avere sul proprio PC dati sensibili riguardanti i clienti

Quote:

Originariamente inviato da supermarchino

<CUT>
In questi termini va impostato il problema.

gli aspetti validi e interessanti (a cui poco fa non avevo ripensato ) che sei capace di esporre, non lo sarebbero stati di meno, senza la frase che li precede (che stona alquanto)

teniamo i toni bassi, ok? (è un' ammonizione)

[italovignoli]

Secunia, l'azienda danese che raccoglie, valuta, verifica e analizza le informazioni sulle vulnerabilità dei software, sia di sistema che applicativi, ha appena pubblicato il rapporto 2006, che sintetizza l'andamento dell'anno appena concluso e offre alcune statistiche sui software più colpiti da problemi di sicurezza. Il rapporto, in formato PDF, si trova a questo indirizzo: http://secunia.com/gfx/Secunia_Year-end_Report_2006.pdf.

Come si evince dall'istogramma pubblicato a pagina 4 del rapporto, OpenOffice.Org non rientra tra i sedici software più vulnerabili, come invece succede alla più conosciuta suite per ufficio proprietaria, che nel corso del 2006 ha avuto - tra tutte le versioni presenti sul mercato - ben 67 problemi di sicurezza (molti dei quali non sono ancora stati risolti, nonostante siano stati rilevati da diversi mesi) per cui si trova nella scomoda posizione di leader assoluto della classifica. Al contrario, OpenOffice.Org ha avuto solamente 5 problemi di sicurezza, tutti risolti, per l'insieme delle sue tre versioni.

Anche l'ultimo problema sollevato da Secunia mercoledì scorso, relativo a tre vulnerabilità (delle quali solo la prima, relativa ai documenti in formato nativo WordPerfect, è stata documentata e risolta da una patch - disponibile all'indirizzo http://sourceforge.net/project/showfiles.php?group_id=62662 - mentre le altre due sono ancora in fase di esame da parte degli organismi competenti), viene risolto nel suo complesso da OpenOffice.Org 2.2, che è in fase avanzata di test e verrà rilasciato nel corso della prossima settimana.

Italo Vignoli (Associazione PLIO)

[-fidel-]

Quote:

Originariamente inviato da Pandrin2006

Ci hanno messo 3 mesi per correggerlo:
VIII. DISCLOSURE TIMELINE
01/11/2007 Initial vendor notification
01/12/2007 Initial vendor response
03/16/2007 Coordinated public disclosure
http://labs.idefense.com/intelligenc...lay.php?id=490

Chi è che diceva che il software open rilascia patch in 2 giorni?

A parte il fatto che sarebbero 2 mesi (il mese nelle date anglosassoni è il primo numero), l'ultima data non è la data di risoluzione del problema, bensì la data in cui è stata resa nota la vulnerabilità. Per vedere in quanto tempo il programma viene patchato, devi controllare dalla data di "disclosure", se il programma risulta "unpatched", fino alla data di risoluzione. E' possibile infatti che alla data di disclosure il bug sia già stato risolto (ed una patch è già pronta).
Non a caso, ad esempio su linux, tutti e tre i problemi sono già risolti, ed openoffice è (almeno su suse) già stato aggiornato 3 giorni fa.
Quindi per cortesia...

Un'altra cosa: a parte il fatto che, per il primo problema, il bug può essere sfruttato aprendo documenti WordPerfect maliziosamente costruiti (diciamo non diffussissimi, ma è sempre un bel bug), se non ho capito male Secunia segna quel report come "non risolto" perchè manca una patch dal team di openoffice, almeno per la versione Windows.
Ripeto, per linux la situazione è già risolta da 3 giorni, almeno per OO fornito per Suse (quindi aggiornato dai repositories di Suse, non scaricato dal sito di OOo).

[-fidel-]

Quote:

Originariamente inviato da italovignoli

OpenOffice.Org 2.2, che è in fase avanzata di test e verrà rilasciato nel corso della prossima settimana.

Ottima notizia

Per il resto del post, mi piace quando vengono buttati così "in faccia" i fatti.

[oatmeal]

Quote:

Originariamente inviato da italovignoli

Secunia, l'azienda danese che raccoglie, valuta, verifica e analizza le informazioni sulle vulnerabilità dei software, sia di sistema che applicativi, ha appena pubblicato il rapporto 2006, che sintetizza l'andamento dell'anno appena concluso e offre alcune statistiche sui software più colpiti da problemi di sicurezza. Il rapporto, in formato PDF, si trova a questo indirizzo: http://secunia.com/gfx/Secunia_Year-end_Report_2006.pdf.

Come si evince dall'istogramma pubblicato a pagina 4 del rapporto, OpenOffice.Org non rientra tra i sedici software più vulnerabili, come invece succede alla più conosciuta suite per ufficio proprietaria, che nel corso del 2006 ha avuto - tra tutte le versioni presenti sul mercato - ben 67 problemi di sicurezza (molti dei quali non sono ancora stati risolti, nonostante siano stati rilevati da diversi mesi) per cui si trova nella scomoda posizione di leader assoluto della classifica. Al contrario, OpenOffice.Org ha avuto solamente 5 problemi di sicurezza, tutti risolti, per l'insieme delle sue tre versioni.

Anche l'ultimo problema sollevato da Secunia mercoledì scorso, relativo a tre vulnerabilità (delle quali solo la prima, relativa ai documenti in formato nativo WordPerfect, è stata documentata e risolta da una patch - disponibile all'indirizzo http://sourceforge.net/project/showf...group_id=62662 - mentre le altre due sono ancora in fase di esame da parte degli organismi competenti), viene risolto nel suo complesso da OpenOffice.Org 2.2, che è in fase avanzata di test e verrà rilasciato nel corso della prossima settimana.

Italo Vignoli (Associazione PLIO)

Grazie per esserti iscritto

[supermarchino]

Quote:

Originariamente inviato da jappilas

questo mi fa pensare a due cose: o questi studi hanno esigenze di lavoro che non giustificherebbero l' esborso per le caratteristiche di MS Office, o OpenOffice.org è maturo abbastanza per soddisfare le esigenze anche di tali professionisti

Per la mia esperienza in studi professionali è più che adatto oltre a offrire le già note garanzie di riservatezza, economicità, certificazione del formato, interoperabilità tra i sistemi operativi diversi.

Quote:

Originariamente inviato da italovignoli

Secunia, l'azienda danese che raccoglie, valuta, verifica e analizza le informazioni sulle vulnerabilità dei software, sia di sistema che applicativi, ha appena pubblicato il rapporto 2006, che sintetizza l'andamento dell'anno appena concluso e offre alcune statistiche sui software più colpiti da problemi di sicurezza. Il rapporto, in formato PDF, si trova a questo indirizzo: http://secunia.com/gfx/Secunia_Year-end_Report_2006.pdf.

Come si evince dall'istogramma pubblicato a pagina 4 del rapporto, OpenOffice.Org non rientra tra i sedici software più vulnerabili, come invece succede alla più conosciuta suite per ufficio proprietaria, che nel corso del 2006 ha avuto - tra tutte le versioni presenti sul mercato - ben 67 problemi di sicurezza (molti dei quali non sono ancora stati risolti, nonostante siano stati rilevati da diversi mesi) per cui si trova nella scomoda posizione di leader assoluto della classifica. Al contrario, OpenOffice.Org ha avuto solamente 5 problemi di sicurezza, tutti risolti, per l'insieme delle sue tre versioni.

Anche l'ultimo problema sollevato da Secunia mercoledì scorso, relativo a tre vulnerabilità (delle quali solo la prima, relativa ai documenti in formato nativo WordPerfect, è stata documentata e risolta da una patch - disponibile all'indirizzo http://sourceforge.net/project/showf...group_id=62662 - mentre le altre due sono ancora in fase di esame da parte degli organismi competenti), viene risolto nel suo complesso da OpenOffice.Org 2.2, che è in fase avanzata di test e verrà rilasciato nel corso della prossima settimana.

Italo Vignoli (Associazione PLIO)

È peraltro triste riscontrare che molti professionisti si rivolgono ancora alla suite Microsoft, sovente piratata, con conseguenti costi successivi di messa in regola delle licenze, o per il timore di sanzioni, o per i vari meccanismi simil-DRM posti in essere da Microsoft a partire da Office 2003, che presupporrebbero una licenza valida. Naturalmente i formati pressoché chiusi di Microsoft conferiscono a questo mercato, male informato, una vischiosità impressionante.
Ciò si accompagna a una frequente connivenza con la suite Microsoft dei vari software gestionali per studi professionali.

Per questo profilo credo che sarebbe opportuna un'opera di sensibilizzazione presso gli Ordini, anche nell'ottica del sempre più intenso scambio di informazioni che si avrà con la pubblica amministrazione, che auspico sotto l'egida dell'interoperabilità tra sistemi diversi e formati di dati.

[italovignoli]

Ho rilevato alcune inesattezze in alcuni interventi di questa discussione, che vorrei precisare:

1. Quando una vulnerabilità viene rilevata, intervengono alcuni organismi "super partes" che comunicano il problema all'azienda o alla comunità che sviluppa il software, e cercano contemporaneamente di riprodurre il problema per verificare che si tratti veramente di una vulnerabilità "reale".

2. Il processo può richiedere anche diverse settimane, ed è per questo che in alcuni casi la patch è disponibile addirittura prima che il problema venga riconosciuto dal CVE (Common Vulnerabilities and Exposures) e società come Secunia lo pubblicizzino.

3. OpenOffice.Org è utilizzato molto di più in ambito Windows che in ambito Linux, anche se la penetrazione è molto più alta in ambito Linux (dov'è prossima al 98%) che in ambito Windows (dove si sta avvicinando al 10%).

4. La stima (accettata) è che OpenOffice.Org sia installato su circa 3 milioni di macchine in Italia, e che gli utenti più o meno continuativi siano prossimi al milione e mezzo (negli ultimi mesi, la suite in italiano viene scaricata da più di 100.000 utenti al mese).

5. L'attenzione dedicata da Microsoft e dai suoi fans a OpenOffice.Org conferma le stime di cui sopra.

Un saluto a tutti, Italo

P.S. - Se volete associarvi all'Associazione PLIO per sostenere lo sviluppo di OpenOffice.Org, siete invitati a farlo sul sito www.plio.it.

[-fidel-]

Quote:

Originariamente inviato da italovignoli

2. Il processo può richiedere anche diverse settimane, ed è per questo che in alcuni casi la patch è disponibile addirittura prima che il problema venga riconosciuto dal CVE (Common Vulnerabilities and Exposures) e società come Secunia lo pubblicizzino.

Questo spiega meglio quello che volevo dire un po' di post fa: come "tempo di uscita della patch" io calcolo dal giorno del bug/exploit disclosure, come è giusto che sia... Normalmente, nel mondo opensource, passano pochi giorni (a volte addirittura poche ore quando si tratta del kernel) per tirare fuori la patch dal giorno del disclosure. In altri casi, la patch è già disponibile prima che il bug/exploit venga ufficializzato (questo normalmente avviene nei casi in cui il bug/exploit viene identificato dallo stesso team di sviluppo o da un ricercatore, non da un hacker ovviamente )