OpenOffice.org に複数の危険性が見つかり、対応版が公開 114
ストーリー by Masafumi Otsune
殿、脆弱性の報告があるのは吉兆ですぞ 部門より
殿、脆弱性の報告があるのは吉兆ですぞ 部門より
vn曰く、"オープンソースのオフィススイート OpenOffice.org に危険度の高い3件のセキュリティホールが見つかり、対応版として2.0.3 がリリースされた。(ただし英語版。日本語版は近日登場)
ITmedia の記事およびSecunia.com の記事によれば、従来版に見つかった危険性は以下の通り。
- 特殊な細工をした Java アプレットがサンドボックスのセキュリティ機構を突破し、任意のコードを実行できる。
- 特殊な文書を開くと、不正なマクロが暗黙のうちに実行され、任意のコードを実行できる。
- 特殊な XML 文書を開く際にバッファオーバーフローが発生し、任意のコードを実行できる。
2.0.3日本語版でていますね。 (スコア:3, 参考になる)
リリースノートなどは こちら [osdn.jp]から
# 私見述べずに速報のみで失礼。
Re:2.0.3日本語版でていますね。 (スコア:1, 参考になる)
OOorc_QAのページ [xrea.com]を見ると、OOo2.0.3rc日本語板のQAは、まだ終っていない様ですが。
Re:2.0.3日本語版でていますね。 (スコア:1)
>脆弱性のせいでかすんでしまいましたが、かなり広範囲にコードを書き換えたみたいですし。
またマイナーバージョンを上げるくらいなら、気が済むまで十分にテストしてもらう方がいいと思います。
#FreeBSD上でOOo2.0.3rc7にOOo2.0.3rc6のlangpackを導入して使用中
Javaのサンドボックス突破? (スコア:1, 興味深い)
うーん、どこにもJavaのバージョンが書いてない・・・
バージョンに依存しないということは・・・アプレットを
JVMに渡す前の所の脆弱性?
それって、サンドボックスといえるのか??
アプレット埋め込んだ文章扱う機会は、次アップデート
するまでの間にはなさそうなんでウチでは
別に困りはしないだろうがこれ、どういう問題だったのかなぁ?
できるかな? (スコア:1, すばらしい洞察)
>* 特殊な文書を開くと、不正なマクロが暗黙のうちに実行され、任意のコードを実行できる。
>* 特殊な XML 文書を開く際にバッファオーバーフローが発生し、任意のコードを実行できる。
「できる」って書くんだ。「される」とか「される可能性がある」とかじゃなくて。
クラッカー視点なのね。
Re:できるかな? (スコア:1)
あまりにも長い。受け身を使うなら「され得る」の方が
良いと思う。しかし、この場には硬過ぎて好ましくない。
Re:できるかな? (スコア:1, 興味深い)
あいまいな表現になってしまう可能性があります。どうしても
受け身にしたい場合以外は、避けたほうがいいと思います。
まあ、「任意のコード」に敬意を払っても仕方がないけどね。
たしかに、「実行できる」だと、良いことのように読めるので、
「任意のコードが実行できてしまう」といった表現のほうがいいかもね。
Re:できるかな? (スコア:1)
しかし訳出のニュアンスより気になることが一つ。
今回のアップデートは脆弱性の修正だけじゃないのにね。Calcの実行環境も効率化が図られているんだけどw
ひょっとしたらMS厨Vs.アンチMS厨房の対立をあおってOOoに注目させる新手の宣伝活動かな!?
Re:できるかな? (スコア:1, 興味深い)
ぜんぜん新手じゃありません。MSをはじめ各社こぞって採用している方法です。
もしかしたら、すでに特許申請されてるかもしれません。
なんて言ったらフレームの元になるのかもね。
まあ、まじめに言って、脆弱性はイメージダウンにしかならないし、
宣伝活動なわけがないでしょう。それに、脆弱性の修正のどさくさに
まぎれて機能アップをおこなうのも、よくないことですよね。
対策 (スコア:1)
じゃなくて、「PDFにして送って下さいとつき返す。」
にしてほしい今日このごろ。
どうせ、なにかをフィルして返信って滅多にないし。
#Acroreadももうちょいさくさく動いたらなぁ。
Re:対策 (スコア:2, 興味深い)
何にせよ「安全」な形式は無いし、他の形式にしたら出来ないことが多すぎる。
こんな指摘が数件上がったくらいで、OpenOffice なり MS Officeなりを使わない理由にはならんのですよね。
Re:対策 (スコア:2, すばらしい洞察)
>Acrobat Reader にも脆弱性の指摘
こんな時こそ、プレーンテキストに立ち返るのですよ。
# グラフや画像は、AAで表現して
Re:対策 (スコア:1)
#どでかいファイルを読ませるとそのままお亡くなりになりますし。>メモ帳
人の作るものに完璧などないのです。
Re:対策 (スコア:1, 興味深い)
>こんな時こそ、プレーンテキストに立ち返るのですよ。
「プレーンテキスト」なんて、受け取り手の数だけ解釈のあるフォーマットですね。
non-cjkな人たちがcjkなファイルをテキストエディタで開いたら、
バイナリだと思うでしょうし、UTF-16を読めないエディタで、
UTF-16なファイル(2バイト以上にエンコーディングされる
CJK文字を含むもの)を開いたら、バイナリに見えるでしょうし、
Base64でエンコードしたMS-Wordのファイルはプレーンテキスト
なのか?という問題もあります。
EUC/SJIS/ISO-2022系/UTF-8/UTF-16(LE/BE)なんかを全部
読めるテキストエディタだと、
文字コード処理関係で、脆弱性が紛れ込む可能性は十分にある
と思うのですが。
Re:対策 (スコア:1)
>>>Acrobat Reader にも脆弱性の指摘
>>こんな時こそ、プレーンテキストに立ち返るのですよ。
>non-cjkな人たちがcjkなファイルをテキストエディタで開いたら、
>バイナリだと思うでしょうし、UTF-16を読めないエディタで、
>UTF-16なファイル(2バイト以上にエンコーディングされる
こんなときこそ口頭で伝達ですよ
言語は何がいいのかな、やはり世界で一番話されている言語で
えっ、中国語…
Re:対策 (スコア:1, おもしろおかしい)
そんな時こそ、以心伝心ですよ。
愛さえあれば仕様の差なんて。
え、勘違いですか?勘違いなんですか?
ボンゴ (スコア:2, おもしろおかしい)
RFCにはならんのか [eagle.auc.ca]?
スラドでも以前 [srad.jp]取り上げられてましたね。
#梵語 [wikipedia.org]じゃないよ
屍体メモ [windy.cx]
サクサク!? (スコア:1)
アクロバットより軽いので、普段はFoxit Reader(Free Edition) [foxitsoftware.com]の方を使っています。
互換性 (スコア:1, おもしろおかしい)
Re:互換性 (スコア:1, 参考になる)
あ、誰もリンク貼ってないみたいなので、本件のOOo側の情報 [openoffice.org]を。
# ACなのでまとめ書き御免
Re:だから (スコア:1)
ワームとか今回の脆弱性とか含めて、現実は現実として受け止
めるべき。
少なくともMS Officeは危険で、OOoは安全とは言い切れなかった
ということですよね。
# でもコスト対効果で考えると、私はOOo使い続けるんですけどね。
Re:/.Jでよく見かける意見の逆バージョン(スコア:-10, フレームのもと) (スコア:1)
アンチMS厨は、MS Officeが嫌いだが、OpenOfficeが好きとは限らない。
アンチアンチMS厨は、MS Officeが嫌いな人間が嫌いだが、OpenOfficeが嫌いとも、MS Officeが好きとも限らない。
# ゲーム脳脳脳脳脳脳脳脳脳脳脳脳脳脳脳脳脳脳脳....
Re:/.Jでよく見かける意見の逆バージョン(スコア:-10, フレームのもと) (スコア:1, すばらしい洞察)
OpenOfficeも、数年前からずっとそうなんですけど。
「Microsoft Office とか Windows という製品ラインは廃止する必要があります。 」 [srad.jp]などというレベルの考えしかできない人がいるらしいんですけど、OpenOfficeも危険な脆弱性が絶えないわけですからOpenOfficeも廃止する必要があるとお考えなんですよね?
MSだと廃止で、OOoだと廃止は不必要だなんて主張が、誰にでも理解してもらえるなどと考えるほどバカではないですもんね。
Re:/.Jでよく見かける意見の逆バージョン(スコア:-10, フレームのもと) (スコア:1)
Re:/.Jでよく見かける意見の逆バージョン(スコア:-10, フレームのもと) (スコア:1)
実担当者はOpenOffice.org 独自ビルドプロジェクト [osdn.jp]の方……でもないですね。
では誰が正式な日本語版リリースをしているんでしょう?
Re:/.Jでよく見かける意見の逆バージョン(スコア:-10, フレームのもと) (スコア:1, 参考になる)
(1) 日本語板のrcビルドがOOo本家からリリースされる。
(2) OOo日本ユーザ会がrc日本語板をQAする。
(3) OOo日本ユーザ会がそのrcを日本語正式板としてリリース可と判断したら、それをOOo本家に伝える。
(4) OOo本家が日本語板rcバイナリを日本語正式板としてリリースする。
という事なんで、日本ユーザ会が「近日リリース」と言っているなら、それはソースになるのではないでしょうか。
「QAをパスしないかもしれないから、近日リリースされるとは限らない。」というならば、それはそうですが。
Re:/.Jでよく見かける意見の逆バージョン(スコア:-10, フレームのもと) (スコア:1)
ところでタレこみ主の方が近日リリースという情報の根拠は述べていないようですが...
タレコミ者ではないけれど (スコア:1)
Re:タレコミ者ではないけれど(GOTO 970685) (スコア:1)
ただし、この発言の根拠になっている「まあ本家に相手にされてないのは同意 [srad.jp]」とあるけれども、
「2002年9月頃、ついに本家の 本家OpenOffice.orgに認められ、OpenOffice.org日本ユーザー会は正式なプロジェクトとなりました。 [openoffice.org]」と認識に違いがあるみたいですね。
まったく外の人なんでIDで。
嘘を嘘と見抜けないと(スラッシュドットを使うのは)難しい (スコア:1)
# そして脆弱性内容の間違いを指摘したら「余計なもの」にモデレート食らったのですが、泣いていいですか?
# とはいえ、基本的にはタレコミ人と読み手の責任 [srad.jp]らしいですからしょうがないんですけどね。嘘を嘘と見抜けないと(スラッシュドットを使うのは)難しいですね。
訂正への訂正 (スコア:1)
おそらく誤りまたは不適切な情報です。我等 mere mortal はその程度のものです。
後はどっちでも良いような話ですが、脆弱性の表現はサイト毎にブレがあります。
恐らく、こっちの表現の方が実質的にどんな点で過不足なくなっている、という
ところまで指摘されていないために、「余計なもの」と判断する人もいたのかなと
推定します。
Re:訂正への訂正、へのボケ (スコア:1)
あと申し訳ないのですが、第二段落の文章が繋がっていない様に見受けられます。この文章の書き方ですと、脆弱性の表現にブレがあるのは恐らく~と推定します、と読み取られかねない表現です。間に入るべき文章、あるいは接続詞(ここでつかうべきは「また」)がなくなってしまいましたか?
Re:訂正への訂正、へのボケ(余計なもの) (スコア:1)
・任意のファイルを削除や変更する任意のコードは実行できるかもしれない。
・任意のコードを実行するために任意のファイルを削除や変更できるとは限らない。
# cause additional security issuesの部分を言及し始めたら終わらない...
Re:よ~く読むと(スコア:-1, 無粋な解説) (スコア:1)
リチャード3世のようになれるということだね。
# 私に賛同する方は胸に紅い薔薇を!
Re:だから (スコア:1)
というか、かなり以前に2,000円〜3,000円で Microsoft Office 2003 Pro の斡旋があって、
そのときは一応買っておいたのだが、封も切らずに放置してある。捨て金だったな。
Re:だから (スコア:1)
「MS-Office はなかなか捨てられない」という仮説は否定されたと思うよ。
OpenOffice.org で文書を作って、PDF 変換して送れば相手は確実に読めるからね。
Adobe Acrobat Distiller も要らないし。
Re:だから (スコア:1, 参考になる)
>Adobe Acrobat Distiller も要らないし。
それは嘘。
一度OOoで作った文書をPDFにして送ろうとしたら、図がまともに変換されなかった。
泣く泣くMS-WORDで作り直してPDFにして送った。
まだまだMS-Officeのほうがまともに使える。
Re:だから (スコア:1)
ベルギー政府は OpenDocument を標準採用 [zdnet.co.uk]する方針を固めたようだね。
これは即ち、Microsoft が OpenDocument を標準サポートしないという
現在の頑なな方針を改めない限り、ベルギー政府部内で Microsoft Office
が利用される機会はきわめて稀になるということを意味する。
これを踏まえて、MS-Office はなかなか捨てられないというステートメントが
妥当かどうかを再考すると、いや寧ろ簡単に捨ててしまえる、と言ってしまって
構わない。
日本に目を転じると、栃木県二宮町役場の事例 [srad.jp]がある。
Linux と OpenOffice.org への移行を同時にやってのけるのだから、
日本の平均的なオフィスワーカーの潜在能力はものすごいと思う。
議論になってないよ (スコア:1)
それは、「捨てる事が出来る」という証明だから。
この場合「なかなか」という部分が重要なのです。
これは「捨てたいのに捨てられない事情がある」という意味だと思われます。
「捨てられない事情なんて無い」という証明は難しいのはお分かりだと思います。
ですので、これを否定するにはその事情を挙げてもらい、それを否定するしかありません。
今のところ、否定すべきモノすらないので、否定も肯定もされてないという状況だと思います。
Re:議論になってないよ (スコア:1)
「ベンダー・ロックイン」と呼ばれる現象はあるでしょう。
そういうユーザにとって不愉快な現象を最少限にするために、
情報システム設計者という職業が存在する訳ですが。
私見としては、RDBMS のような業務データを満載して動いている
システムにロックインしてしまうのはやむを得ない現象だと思いますが、
オフィススイート如きにロックインしてしまうのは初期の設計がうまく
行ってなかったんじゃないの、と言いたい気はします。
それでも、ロックインしちゃったものは仕様がない。
問題は、それは一般的なケースなのか、それとも大抵の場合は
Microsoft Office からの脱却プランを検討する価値がある状況なのか、
という rule of thumb を作り出すような話だと思います。
Re:議論になってないよ (スコア:1)
そのことは余り広く知られている訳ではありません。
ちょうど「なんとなく疲れやすい」と思っている人が専門医に診てもらって
それは肝炎だとか、糖尿病だとか診断が付くのと似ています。
病名が明らかになってしまえば、いろいろな症状をそれに結びつけて
考えることができて、諸々の悩みが解決に向かいます。
もちろん「俺は糖尿病と一緒に生きるんだ!」と突っ張り抜く不良患者も
いない訳ではありませんが、晩年の村田英雄みたいになってしまいます。
よろしい、ベンダー・ロックインが不愉快でないと仰るならそういう人生もあるでしょう。
私らには、他にも面倒を見るべき患者がどっさり居ます。
Re:議論になってないよ (スコア:1)
いま訳してあげる時間がないからね。 セカンドオピニオンを取ることには大賛成だね。
ただし、この業界には酒造会社や製糖会社がスポンサーした似非セカンドオピニオンが
蔓延しているから注意が必要だ。しばしば、ご丁寧にも "Get the Facts" などという
題名が付いている。
Re:だから (スコア:1)
アプリケーションを作ることが君のゴールという訳だね?
私には、衰退期の古典芸能みたいに見えるけどね。
Re:お話になりません... (スコア:1)
君の得意技に持込むためには Excel を積んだ Windows マシンが標準である必要が
あるということもね。
経営者の立場で考えたとき、Excel のライセンスは天から降ってくる訳では
ないから、その分だけ君の給料を削るなどして確保しなければならない、
ということは理解してもらえると思う。ベンダーが理由もなく Excel を
値上げすれば、それだけ君のスキルの市場価値は下がる。
(反対に OpenOffice.org Calc の人気が上がれば、ベンダーは Excel を
値下げして対抗せざるを得ないから、君の市場価値が上がる、という面もある。)
それが、この取引の全体像だよ。
Get the Facts (スコア:1)
君の組織は Microsoft Office にロックインしてしまっている。
君は、同じ症状を呈している組織同士で傷を舐め合うための
ユーザーグループにも参加している。
それは別に恥ずかしがるようなことではないが、
決して自慢できるようなことでもないよ。
また OpenOffice.org に対処すべき問題があることも分かっている。
これは Mozilla Firefox がかつて通った道でもあるけれど、
セキュリティ問題に対処した各国語版が整備される前に、
英語版だけ準備できた時点でセキュリティ問題を公表するのは宜しくない。
Firefox のときは、英語圏以外のユーザグループが大いに困惑したものだ。
また、大規模組織に適した自動アップデート機構がない (Linux 上では必ずしも
そうとは言えないが) 点も、改善を要する。
しかしながら、マサチューセッツ州政府や栃木県二宮町役場は
「現状を見ないでファンタジーを語る信者」の巣窟なのか?
それは、他所様の仕事内容というのを侮辱する見解じゃないのかい?
感情的な拒絶反応を引き起こすことで得するのは Microsoft だけだ。
もし君が MS 工作員でないのならば、「信者」などと侮辱するような
表現を軽々に使わぬよう自制を求めたい。
Confront the Facts (スコア:1)
OpenOffice.org は単なるオープンソースソフトウェアに過ぎない。
理想的なアプリケーションであると主張したことはないし、理想的な
アプリケーションである前提でしか通用しないことを主張したこともない。
それに、ライセンス料と導入費用を混同している。
さらに言えば、Microsoft Office はまさに高機能ゆえに使いにくい
ソフトウェアになっているという現実から目を背けている。
クリステンセンが言う破壊的テクノロジー [wikipedia.org]の発生条件が調いつつある。
(しかしながら、破壊はローエンドから始まるということも申し添えておこう。)
さらに指摘するなら、「信者」呼ばわりすることで相手を挑発するのは、
もし工作員ならば計算ずくでやっていることだし、もし工作員でなければ
たいへん愚かなことと言わなければならない。
君もまた、問題のある箇所をわざわざ引用しているようだが、
それは「工作員かな?」と疑わせる最短経路だ。
コメントアウト部分に反応してゴメン、なんだけど (スコア:1)
Linuxだったらディストリビュータに任せといた方が良い気がする。
新しいバージョンを出すのが更新が遅いディストリビューションもあるだろうけど。
(VineはまだOOo1系なのかな?)
x86系じゃないハードだとか、パッケージシステムとか持ってないディストリビューションとかで使ってるのはマニアだろうから
そういう人は自分で解決してください、でいいだろうし、そんなに酷い状態じゃないと思うけど。
gy0
Re:異議あり? (スコア:1)
この書き方ではタレコミとSecuniaの記事が食い違っているように読めますが、そうではないですよね。あくまであなたが引用しているITmediaの記事とタレコミに(食い違いと言ってもいいけど)温度差があるというだけの話。そしてタレコミにあるSecuniaのアドバイザリ [secunia.com]では問題の深刻度を5段階の3(Moderately critical)とし、一方ITmediaが参照しているFrSIRTのアドバイザリ [frsirt.com]では4段階の4(Critical)としていることが、この温度差の原因のようです。
で、セキュリティ評価の仕方は各社それぞれとは思いますけれど、仮に脆弱なシステムを完全に掌握される可能性があったとしても、それを実装するのが難しければ問題の深刻度が低く見積もられてもおかしくないところ。それでFrSIRT側でコンセプト実証コードが実際に作成できたのか気になりました。
先日のExcel [srad.jp]のように、どこかで実証コードが公開されているというのなら、文句なくCritical扱いでいいと思いますけどね。
# 簡体字版OOo 2.0.1をスタンドアロンで使っているのでID
Re:異議あり? (スコア:1)
Re:異議あり? (スコア:1)
を再度確認してきたら、、、Itmediaの記事も不適当でした。すみません。以下、上記URLからたどれる各問題のImpactに含まれる、該当箇所の抜粋です(これを見る限りだとCVE-2006-2198もCVE-2006-2199も、やはり任意のコードが実行できるということではなさげですが...)
Java Applets, CVE-2006-2199
Macro, CVE-2006-2198
File Format, CVE-2006-3117