Libreoffice-Sandbox für nächste Version geplant

Die Entwickler von Big Blue Button schrieben uns, dass sie planten, ein entsprechendes Sandboxing für Libreoffice zu implementieren. Zuerst hieß es, man wolle Libreoffice in ein Chroot einsperren. Dann erwog man, den Prozess in einem Docker-Container auszuführen. Passiert ist bislang beides nicht, die Container-Lösung sei aber für die kommende Version 2.3 geplant.

Stellenmarkt
  1. Informatiker (m/w/d) im Referat "Informationstechnik&qu- ot; der Zentralabteilung
    BfS Bundesamt für Strahlenschutz, Berlin
  2. Data Analyst (m/w/d) für den E-Commerce
    Kreyer Holding GmbH & Co. KG, Schloß Holte-Stukenbrock
Detailsuche

Nachdem bei dieser Lücke längere Zeit nichts passierte, schauten wir uns das Problem noch einmal genauer an. Denn eigentlich sollte ein solcher Angriff überhaupt nicht funktionieren, da Libreoffice externe Dateien nur nach einem Nutzerdialog einbindet. Bei einer Konvertierung auf der Kommandozeile wird dies automatisch abgelehnt.

Jodconverter erlaubt in Standardeinstellung Einbinden von Dateien

Als Ursache fanden wir eine Software namens Jodconverter, die einen Wrapper um die Konvertierungsfunktionalität von Libreoffice bereitstellt und von Big Blue Button verwendet wird. In Jodconverter wird das Einbinden von externen Dateien standardmäßig aktiviert. Will man das nicht, muss man diese Funktion aktiv ausschalten. Der Entwickler von Jodconverter überlegt, diese Standardeinstellung zu ändern, bislang ist das aber nicht passiert.

Nachdem wir dies den Entwicklern von Big Blue Button mitgeteilt hatten, änderte man dort die Einstellung. Die Änderung floss in Version 2.2.27 ein, alle Nutzer von Big Blue Button sollten dieses Update schnellstmöglich installieren. Besonders transparent ist Big Blue Button mit dem Problem nicht umgegangen. In den Release-Notes ist nicht erkennbar, dass hier ein kritisches Sicherheitsproblem behoben wurde.

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  2. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

Wissen sollte man zudem, dass dies vermutlich nicht der einzige mögliche Angriff auf die Libreoffice-Dateikonvertierung ist. Ein weiteres großes Risiko ist, dass Libreoffice standardmäßig auch EPS-Dateien unterstützt, diese werden mit dem Tool Ghostscript konvertiert. Ghostscript implementiert den Postscript-Standard, bei dem es sich faktisch um eine vollwertige Programmiersprache handelt. Zwar hat Ghostscript eine schwache Sandbox hierfür, doch regelmäßig werden darin Fehler entdeckt und es ist häufig möglich, die Sandbox auszuhebeln.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Datei-Exfiltrierung mit Libreoffice war die kritischste Lücke, die wir bei unseren Recherchen fanden, aber leider nicht die einzige.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Big Blue Button: Das große blaue SicherheitsrisikoXSS-Lücke und keine sicheren Session-Cookies 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Open Data: Hessen will Geodaten lizenzfrei zur Verfügung stellen
    Open Data
    Hessen will Geodaten lizenzfrei zur Verfügung stellen

    Das Land Hessen kommt den Open-Data-Bemühungen des Bundes zuvor und will seine sämtlichen Geodaten frei bereitstellen.

  2. Rückschau E3 2021: Galaktisch gute Spiele-Aussichten
    Rückschau E3 2021
    Galaktisch gute Spiele-Aussichten

    E3 2021 Es hat sich selten wie eine E3 angefühlt - dennoch haben Spiele- und Hardware-Ankündigungen Spaß gemacht. Meine persönlichen Highlights.
    Von Peter Steinlechner

  3. Websicherheit: Wie KenFM von Anomyous gehackt wurde
    Websicherheit
    Wie KenFM von Anomyous gehackt wurde

    Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
    Von Hanno Böck

ClausWARE 06. Jan 2021

Also die meisten kommerziellen ClosedSource-Softwareanbieter sind nach wirtschaftlichen...

Keep The Focus 28. Okt 2020

Und nicht nur das, Enterprise Niveau sollte wirklich kein Problem sein: https://www.golem...

WalterSobchak 23. Okt 2020

Eine Lösung wäre mal das Rechtemanagement in Linux zu nutzen. Der Prozess, der die PDF...

robos 22. Okt 2020

.. wenn die lauten würde: "Diverse Sicherheitslücken in BigBlueButton durch Golem...

Keep The Focus 21. Okt 2020

absoluter Mumpitz. Wer solche Aussagen trifft, disqualifiziert sich eher als Entwickler.


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    •  /