关键信息总结 漏洞编号: CVE-2021-30245 漏洞描述: 通过非-http(s)方案的超链接在Apache OpenOffice中执行代码 主要讨论点 历史背景: 该问题自2005年左右OpenOffice.org 2.0发布以来就存在。 - 参考链接: bz.apache.org/ooo/show_bug.cgi?id=49802 开发与修复: - Arrigo修复了代码,Carl添加了一些协议检查。 - 参考提交: github.com/apache/openoffice/commit aa358bfc895e0ee5382ad1d25e5d5126146b 当前代码特性: - 对任何没有文件扩展名在“白名单”中的http(s)超链接发出警告。 讨论中的话题: - 为超链接安全警告提供一个更好的对话框 - 实施一个选项,允许用户从代码中存在的3种超链接安全级别中进行选择,但不在设置中。 其他: - Dave创建了一个PR,允许所有http(s)超链接。 - 参考链接: github.com/apache/openoffice/pull/127 版本和发布时间: - 正在准备发布4.1.10以及我们的第一个发布候选版本,使用cwiki.apache.org/confluence/display/…进行跟踪。