Обновление OOo 3.3.0 (Oracle) от Apache

Автор Yakov, 22 марта 2012, 20:31

0 Пользователи и 1 гость просматривают эту тему.

Yakov

Промелькнула очень странная новость:
Аpache выпустила обновление OOo 3.3.0 от Oracle под лицензией Apache........    :o
http://mail-archives.apache.org/mod_mbox/incubator-ooo-dev/201203.mbox/%3CCAP-ksoj7o5%2B2YH-E4XzR044V0e3YZfZvuef7eJuNGhdy%2Bk9kyA%40mail.gmail.com%3E

sorath

Не совсем обновление, скорее патч устраняющий одну уязвимость.

Отмечают, что данной уязвимости возможно подвержены и более ранние версии, вышедший патч устраняет её для ЩЩщ-3.3.0 и AOO-3.4.0b.
К сожалению, не уверен, что адекватно смогу перевести описание данного эксплойта :)

Если правильно понял, то патч устраняет возможность выполнения определённым XML компонентом, внедрённым в ODT файл записи в этот файл (без уведомления и разрешения пользователя) локальных файлов (с указанием пути к ним),  что может вызвать утечку данных при дальнейшей пересылке такого файла.

Yakov

Недоумение вызывает следующий факт
OOo 3.3.0 распространяется под лицензией LGPL
а патч к нему - под лицензией Apache

sorath

Наверное лицензия Apache не запрещает линковать свои библиотеки к продуктам под другими лицензиями,
на wiki пишут, что
Цитироватьлицензия Apache даёт пользователю право использовать программное обеспечение для любых целей, свободно распространять, изменять, и распространять изменённые копии, за исключением названия
The Document Foundation тоже собирался использовать интересные им наработки из кода проекта Apache OpenOffice, так что, похоже, лицензия подобные вещи разрешает, главное копирайты не менять на свои.