4月25日にLibreOfficeで修正された脆弱性、OpenOfficeではまだ未修正 57
ストーリー by hylom
オープンソースなのに…… 部門より
オープンソースなのに…… 部門より
LibreOfficeおよびOpenOfficeで今年2月に発見された脆弱性について、LibreOfficeはすでに対応が完了しているにもかかわらず、OpenOfficeではまだ脆弱性が修正されていないという(TeleRead、divabot)。
問題の脆弱性は、CVE-2015-1774として報告されているもの。細工されたHWP形式(韓国でシェアの多いワードプロセッサ「アレアハングル」が利用するファイル形式)ドキュメントを読み込ませることで、任意のコードが実行される可能性があるという。HWP形式ファイルだけでなく、HWP形式ファイルに.docなどの拡張子を付けたものでも発生するとのことで、比較的影響は大きい。
LWN.netの7月8日付け記事によると、LibreOfficeはこの問題はバージョン4.3.7で修正したが、OpenOfficeは対応としてHWP形式ファイルのサポートを行う共有オブジェクトの削除をユーザーに提示し、さらに今後リリースが予定されているバージョン4.1.2では修正するとされたものの、実際にはまだ何も作業が進んでいないという(現時点でもバージョン4.1.2はリリースされていない)。
このような状態であることから、TeleReadやdivabotではOpenOfficeの利用を止めて、LibreOfficeに移行すべきと述べている。
目に見えるコストはかからなくても、手間がかかる (スコア:0)
> TeleReadやdivabotではOpenOfficeの利用を止めて、
> LibreOfficeに移行すべきと述べている。
何か問題がある度に乗り換えるんですかねぇ。
MS Officeを買わずにOSS系を使う事について、
目に見えるコストはかからなくても、手間がかかるんですよね。
手間=人件費 なので、もう素直に有料のソフトを使った方がマシだね。
# ときおり手間を人件費(コスト)だと思っていない馬鹿経営者が居るのはなぜだろう。
Re:知識を蓄えるには手間がかかる (スコア:1)
OpenOfficeからLibreOfficeにフォークした件 [opensource.srad.jp]を知っていれば、こんなコメント書かずに済んだのにね。
何を言ってるんだ。 (スコア:2)
OOoからLOに移行する手間が1回かかってることに気が付てないのかな?
フォークとかそんな古いネタは誰でも知ってるわ。
Re: (スコア:0)
元が同じだろうがなんだろうが、入れ替えってのはそれ自体が手間だがな。
挙句、アイコン一つ変わっても文句言う人だって居るのだし。
Re: (スコア:0)
そんならバージョンアップだって手間がかかることに変わりはないだろ。MS Officeのようにバージョンが上がるたびにガラっとUIが変わってたら再教育のコストもかかるしなおさらだ。
Re: (スコア:0)
見事な藪蛇ワロタwww
Re: (スコア:0)
バージョン上げなくても、事前に分かっている保証期間はセキュリティアップデートが提供されるのでは?
Re: (スコア:0)
保証期間すぎたらどうするんです?移行しないんですか?
Re: (スコア:0)
好きにすれば?
バージョンアップしてもいいし、そのタイミングで他の物に乗り換えてもいい。
移行コストだって事前に分かってれば計画立てられる。
いつ開発が止まるか分からない代物より100万倍マシ。
Re: (スコア:0)
バージョンが”上がるたびに”ガラっとUIが変わる?
語るに落ちるとはこのことか
MSアンチでOfficeを見てすらいないだろ
Re: (スコア:0)
どこで読んだか忘れたけど、OpenOfficeは、LibreOfficeと比べて
あまりにも開発が不活発で、それはもはや話にならないレベルだとのことだったと思う。
Re: (スコア:0)
それは知ってる人には常識だけど多くの人はそうでないのだろう。
未だにOpenOfficeの方がLibreOfficeの何倍もDLされてるからね。
Re: (スコア:0)
OSSの導入リスクの典型的な例ですね。
「大勢がソースを見てるから安全。開発が止まっても誰かが引き継ぐことができるので安心」
これが大きな間違いであったということ。
ソースが見れても直さないし、開発が停滞してても誰も引き継がない。
引き継ぐよりはフォークして別の道を歩む。
そして、脆弱性を負ったまま、ユーザーは取り残されると。
#だからMS-Officeのままでいいってのに。
Re:知識を蓄えるには手間がかかる (スコア:2)
引き継いだのがLibreOfficeなんですけど
Re: (スコア:0)
ならば、なぜOpenOffice側は、「LibreOfficeに引き継がれましたので、今後はそちらをつかってください」
とアナウンスしない?
Re: (スコア:0)
そうだね
最初っからLibreOfficeだったら良かったね
Re: (スコア:0)
> 「大勢がソースを見てるから安全。開発が止まっても誰かが引き継ぐことができるので安心」
毎回思うんですが、OSSだと↑の理由で安全安心って誰が言い出したんですかね。
OSSは誰でも修正しようと思えば修正出来るし、開発が止まっても誰かが引き継ぐことが出来ることを保証しているだけ。
作者の都合で開発が止まったり、作者が修正する気が無くても、誰かが修正して活用出来るようにしたり、
運営元のやり方が気に食わない時にフォーク出来るようにしたり、
運営元が開発させるだけさせて安定したらクローズドにして独り占めしたり出来ないようにするのが目的であって、
あくまでも副次的な効果で、開発が活発ならば「大勢がソースを見てるから安全(な可能性が高くなる)。開発が止まっても誰かが引き継ぐことができるので安心(出来る可能性が高くなる)」ってだけで、
だから「OSS == 安全安心」と言えないのは考えればわかるはず。
# OSS陣営は嘘つきと吹聴する反OSS陣営の陰謀だ!!!・・・我ながら無いな。
Re: (スコア:0)
LotusSuperOfficeなら天下のIBMが作ってるんだから開発停止されることはないよね、
と何が違うんでしょうか。
生き残った製品以外を導入したユーザーが取り残されるのは一緒だと思いますが。
Re: (スコア:0)
だから一番生き残りそうなMSオフィスをみんな使ってるんじゃん
そんな的外れな例を持ち出してもバカにされるだけ
Re:目に見えるコストはかからなくても、手間がかかる (スコア:1)
でも、MSOFFICEのバージョンアップには、手間だけじゃなくて目に見えるコスト(お金)もかかるんですわ。
♯有料ソフトだと移行の手間がかからないと思ってない馬鹿ユーザがいるのはなぜだろう。
Re: (スコア:0)
でも、MSOFFICEのバージョンアップには、手間だけじゃなくて目に見えるコスト(お金)もかかるんですわ。
♯有料ソフトだと移行の手間がかからないと思ってない馬鹿ユーザがいるのはなぜだろう。
企業・役所・団体が金を出していて、身銭を切らないか、或いは経費依頼交渉を経理部門と行わずに済む立場だからさ。
Re: (スコア:0)
FLOSSと聞いてもタダにしか興味が無い人にはMSやキングソフトのプロプラがお似合いでしょう。
Re: (スコア:0)
FLOSSは万人に開かれて存在している物でお前の様な選民意識を持った人間の為に
存在しているのではない。FLOSSをディスるのは止めてもらいたい。
Re: (スコア:0)
万人に開かれてるなら選民思想くらい許容してよ
Re: (スコア:0)
> 万人に開かれてるなら選民思想くらい許容してよ
それラッセルのパラドックス [wikipedia.org]になるから
Re: (スコア:0)
「私はあなたの意見には反対だ、だがあなたがそれを主張する権利は命をかけて守る」
ってのもあるしねぇ。
Re: (スコア:0)
FLOSSはディスってないでしょ。フリーライダーをディスってるだけで。
Re: (スコア:0)
何か問題があったときに、乗り換えるという対応ができるのは大きいぞ。
自分の PC だけならそんなに手間じゃないし。
比較的影響は大きい? (スコア:0)
表現なヌル過ぎないか。
直ちに使用中止すべき重大な欠陥だと思うのだが。
Re: (スコア:0)
Oracle的ないつもどうり
飼い殺しフェードアウトですものね
言葉には表れないご神託は
「いい加減使うのやめろよ」
ってことなんでしょうな
Re:比較的影響は大きい? (スコア:1)
あれOpenOfficeの方もOracleが手放してApacheに移管したんじゃなかったっけか?
Re:比較的影響は大きい? (スコア:1)
その通りです [osdn.jp]。
Re: (スコア:0)
なんでosdnをhttpsにできるのにスラドはhttpsにしないの…。
Re: (スコア:0)
ApacheはOSSの墓場ですから。Oracleに買収されてLOがフォークした時点、遅くともApacheに移管された時点で乗り換えておくべきだった話で、今さらではある。
Re: (スコア:0)
ネタじゃなくてこれが事実だからなぁ
Libreに乗り換えていなかったのなんて官公庁ぐらいなものだろう
まだ未修正 (スコア:0)
この言い回しでおかしいと思わないのかしらhymlo
Re: (スコア:0)
「まだ」付けなくても意味が通るとは思うが、
付けたからおかしいって事も無いと思うのだが
Re: (スコア:0)
馬から落馬がおかしくないと
Re: (スコア:0)
「馬から[落馬]」は「馬から[馬から落ちた]」だが
「まだ[未修正]」は「まだ[修正されていない]」だろ
ここまでしてOOoをコケ落とし、LibOを使わせたい? (スコア:0)
ここの民はOOoがすでに死んでいると思っているし、LibOの方がまだマシと知っている。
こういう脆弱性を残し遺棄されたソフトウエアの問題は、ここで話し合うべき問題じゃない。
国内ではまほかジャムおじさんが死んだと宣言すれば済むのでは?
日本語はページのメンテさえ遺棄しているのに (スコア:0)
せめて英語のページにとばせばいいのに。
OOo日本語のページはリンク切れが多く
宣言前にメンテ放棄で既に死んでいる。
Re: (スコア:0)
メンテ放棄されてても日本語ページは言語によるスコア補正かなんかでGoogleでは本家ページより上位に来ることがよくあるのでマジで害にしかならない。
先に通った道 (スコア:0)
OpenOffice.org日本語版のセキュリティ対策は不十分
http://srad.jp/story/10/04/23/1438251/ [srad.jp]
やっぱJavaだからかな (スコア:0)
やはりJavaで作ってると低レベルな部分が隠蔽されてなんでバグが起きてるのかわからなくなるんだね
Re: (スコア:0)
OpenOffice.org/LibreOfficeがJavaで作られてるとか斬新な意見すぎて吹いた。
まさか旧バージョンがJavaのインストール要求してたからJavaで書かれてるとでも思ってたの? じゃあVisual Studio 6.0もMSJavaで書かれてたんだ。あとでVB6だけわざわざC/C++で書きなおしたんだね。
Re: (スコア:0)
よくある勘違いで斬新でもなんでもないな。
Re: (スコア:0)
よくあるのか、そりゃ済まなんだ。世の中の人間の馬鹿さ加減を甘く見てた。
Re: (スコア:0)
現在の最新バージョンのLibreOffice5でもJavaは含まれてるよ
単にJVMを別途インストールしなくても良くなっただけ
Javaで作られているは言い過ぎとしてもJavaに依存している部分は確実に存在しているし
インストールされているディレクトリ見たらJVMが含まれてるんだからそれだけ見てJavaで作られていると勘違いしても不思議じゃない
Re: (スコア:0)
かっこいいUIがSwingで書ける!
そう思っていた時期が僕にもありました。
Re: (スコア:0)
え、JVMが同梱されるようになったの? よくOracleが認めたな。