皆様 以下のようにTDFよりLibreOfficeの脆弱性の修正についてのお知らせがありました。 LibreOffice 6.2.5に更新されることをお奨めします。
CVE-2019-9848の方は、LibreLogoがインストールされている場合に、細工された 文書によって任意のpythonスクリプトが実行される恐れがあるというものです。 CVE-2019-9849の方は、信頼された場所からの文書中でのみリモートリソースを 取得するという「ステルスモード」についての不具合のため、箇条書きの先頭に 用いる画像に対してこの保護がかからないというものです。 -- Takeshi Abe On Tue, 16 Jul 2019 14:50:10 +0100, Caolán McNamara <[email protected]> wrote: > tl;dr: Upgrade to 6.2.5 > > CVE-2019-9848: LibreLogo arbitrary script execution > > Prior to 6.2.5 it is possible to construct malicious documents which > can execute arbitrary python silently if the LibreLogo script is > installed. LibreLogo is installed by default in the binary builds of > LibreOffice provided by The Document Foundation. > > https://www.libreoffice.org/about-us/security/advisories/CVE-2019-9848 > > > CVE-2019-9849 remote bullet graphics retrieved in 'stealth mode' > > LibreOffice has a 'stealth mode' in which only documents from locations > deemed 'trusted' are allowed to retrieve remote resources. This mode is > not the default mode, but can be enabled by users who want to disable > LibreOffice's ability to include remote resources within a document. A > flaw existed where bullet graphics were omitted from this protection > prior to version 6.2.5. Users of this feature should upgrade to 6.2.5 > > https://www.libreoffice.org/about-us/security/advisories/CVE-2019-9849 > > > -- > To unsubscribe e-mail to: [email protected] > Problems? > https://www.libreoffice.org/get-help/mailing-lists/how-to-unsubscribe/ > Posting guidelines + more: https://wiki.documentfoundation.org/Netiquette > List archive: https://listarchives.documentfoundation.org/www/discuss/ > Privacy Policy: https://www.documentfoundation.org/privacy -- Unsubscribe instructions: E-mail to [email protected] Posting guidelines + more: https://wiki.documentfoundation.org/Netiquette List archive: https://listarchives.libreoffice.org/ja/discuss/ Privacy Policy: https://www.documentfoundation.org/privacy
