Libreoffice-Sandbox für nächste Version geplant

Die Entwickler von Big Blue Button schrieben uns, dass sie planten, ein entsprechendes Sandboxing für Libreoffice zu implementieren. Zuerst hieß es, man wolle Libreoffice in ein Chroot einsperren. Dann erwog man, den Prozess in einem Docker-Container auszuführen. Passiert ist bislang beides nicht, die Container-Lösung sei aber für die kommende Version 2.3 geplant.

Nachdem bei dieser Lücke längere Zeit nichts passierte, schauten wir uns das Problem noch einmal genauer an. Denn eigentlich sollte ein solcher Angriff überhaupt nicht funktionieren, da Libreoffice externe Dateien nur nach einem Nutzerdialog einbindet. Bei einer Konvertierung auf der Kommandozeile wird dies automatisch abgelehnt.

Jodconverter erlaubt in Standardeinstellung Einbinden von Dateien

Als Ursache fanden wir eine Software namens Jodconverter, die einen Wrapper um die Konvertierungsfunktionalität von Libreoffice bereitstellt und von Big Blue Button verwendet wird. In Jodconverter wird das Einbinden von externen Dateien standardmäßig aktiviert. Will man das nicht, muss man diese Funktion aktiv ausschalten. Der Entwickler von Jodconverter überlegt, diese Standardeinstellung zu ändern, bislang ist das aber nicht passiert.

Nachdem wir dies den Entwicklern von Big Blue Button mitgeteilt hatten, änderte man dort die Einstellung. Die Änderung floss in Version 2.2.27 ein, alle Nutzer von Big Blue Button sollten dieses Update schnellstmöglich installieren. Besonders transparent ist Big Blue Button mit dem Problem nicht umgegangen. In den Release-Notes ist nicht erkennbar, dass hier ein kritisches Sicherheitsproblem behoben wurde.

Wissen sollte man zudem, dass dies vermutlich nicht der einzige mögliche Angriff auf die Libreoffice-Dateikonvertierung ist. Ein weiteres großes Risiko ist, dass Libreoffice standardmäßig auch EPS-Dateien unterstützt, diese werden mit dem Tool Ghostscript konvertiert. Ghostscript implementiert den Postscript-Standard, bei dem es sich faktisch um eine vollwertige Programmiersprache handelt. Zwar hat Ghostscript eine schwache Sandbox hierfür, doch regelmäßig werden darin Fehler entdeckt und es ist häufig möglich, die Sandbox auszuhebeln.

Die Datei-Exfiltrierung mit Libreoffice war die kritischste Lücke, die wir bei unseren Recherchen fanden, aber leider nicht die einzige.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Big Blue Button: Das große blaue SicherheitsrisikoXSS-Lücke und keine sicheren Session-Cookies 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  
Verwandte Artikel
artikel-bild
Polizei
Vier Durchsuchungen wegen Missbrauch von Lernplattform
artikel-bild
Fahrdienst
Uber-Dienste laufen nach Hack weiter
artikel-bild
Wasm
Libreoffice läuft mit Webassembly im Browser
Meistgelesen
artikel-bild
Disney+, Netflix und Prime Video
Das goldene Streamingzeitalter wird zum silbernen
artikel-bild
Science-Fiction
Zehn Sci-Fi-Highlights aus den 70er Jahren
artikel-bild
Raumfahrt
Tomaten auf der ISS sehen nach Monaten noch genießbar aus
Kommentarübersicht
Re: Erfunden?
ClausWARE 06. Jan 2021

Also die meisten kommerziellen ClosedSource-Softwareanbieter sind nach wirtschaftlichen...

Re: leider die beste Lösung
Keep The Focus 28. Okt 2020

Und nicht nur das, Enterprise Niveau sollte wirklich kein Problem sein: https://www.golem...

Re: Und was ist die Lösung?
WalterSobchak 23. Okt 2020

Eine Lösung wäre mal das Rechtemanagement in Linux zu nutzen. Der Prozess, der die PDF...

Wieviel geiler wäre doch die Überschrift ..
robos 22. Okt 2020

.. wenn die lauten würde: "Diverse Sicherheitslücken in BigBlueButton durch Golem...

Aktuell auf der Startseite von Golem.de
Disney+, Netflix und Prime Video
Das goldene Streamingzeitalter wird zum silbernen

Das aktuelle Jahr hat viele Umbrüche im Streamingmarkt erlebt - und nächstes Jahr geht es weiter. Das wird negative Auswirkungen für Anbieter und Kunden haben.
Eine Analyse von Ingo Pakalski

Disney+, Netflix und Prime Video: Das goldene Streamingzeitalter wird zum silbernen
Artikel
  1. Mehrjährige Haftstrafe: Betreiber von Deutschland im Deep Web verurteilt
    Mehrjährige Haftstrafe
    Betreiber von Deutschland im Deep Web verurteilt

    Der Verurteilte war Betreiber einer der größten deutschsprachigen Darknet-Plattformen für den Drogenhandel - mit rund 16.000 Benutzern.

  2. Aufkauf der Restaktien: Silver Lake will die Software AG vollends übernehmen
    Aufkauf der Restaktien
    Silver Lake will die Software AG vollends übernehmen

    Das Angebot des Investors für die restlichen Anteile liegt vor. Die Software AG trennt sich derweil von zwei Produkten.

  3. Energiewende: Deutsche Stromnetze im Dornröschenschlaf
    Energiewende
    Deutsche Stromnetze im Dornröschenschlaf

    IT ist der Game Changer der Energiewende - nur nicht in Deutschland.
    Eine Analyse von Gerd Mischler

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Last-Minute-Angebote bei Amazon • Avatar & The Crew Motorfest bis -50% • Xbox Series X 399€ • Cherry MX Board 3.0 S 49,95€ • Crucial MX500 2 TB 110,90€ • AVM FRITZ!Box 7590 AX + FRITZ!DECT 500 219€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /