• IT-Karriere:
  • Services:

Libreoffice-Sandbox für nächste Version geplant

Die Entwickler von Big Blue Button schrieben uns, dass sie planten, ein entsprechendes Sandboxing für Libreoffice zu implementieren. Zuerst hieß es, man wolle Libreoffice in ein Chroot einsperren. Dann erwog man, den Prozess in einem Docker-Container auszuführen. Passiert ist bislang beides nicht, die Container-Lösung sei aber für die kommende Version 2.3 geplant.

Stellenmarkt
  1. Münchener Rückversicherungs-Gesellschaft Aktiengesellschaft in München, München
  2. DMK E-BUSINESS GmbH über Personalwerk Holding GmbH, Chemnitz, Berlin-Potsdam, Köln

Nachdem bei dieser Lücke längere Zeit nichts passierte, schauten wir uns das Problem noch einmal genauer an. Denn eigentlich sollte ein solcher Angriff überhaupt nicht funktionieren, da Libreoffice externe Dateien nur nach einem Nutzerdialog einbindet. Bei einer Konvertierung auf der Kommandozeile wird dies automatisch abgelehnt.

Jodconverter erlaubt in Standardeinstellung Einbinden von Dateien

Als Ursache fanden wir eine Software namens Jodconverter, die einen Wrapper um die Konvertierungsfunktionalität von Libreoffice bereitstellt und von Big Blue Button verwendet wird. In Jodconverter wird das Einbinden von externen Dateien standardmäßig aktiviert. Will man das nicht, muss man diese Funktion aktiv ausschalten. Der Entwickler von Jodconverter überlegt, diese Standardeinstellung zu ändern, bislang ist das aber nicht passiert.

Nachdem wir dies den Entwicklern von Big Blue Button mitgeteilt hatten, änderte man dort die Einstellung. Die Änderung floss in Version 2.2.27 ein, alle Nutzer von Big Blue Button sollten dieses Update schnellstmöglich installieren. Besonders transparent ist Big Blue Button mit dem Problem nicht umgegangen. In den Release-Notes ist nicht erkennbar, dass hier ein kritisches Sicherheitsproblem behoben wurde.

Wissen sollte man zudem, dass dies vermutlich nicht der einzige mögliche Angriff auf die Libreoffice-Dateikonvertierung ist. Ein weiteres großes Risiko ist, dass Libreoffice standardmäßig auch EPS-Dateien unterstützt, diese werden mit dem Tool Ghostscript konvertiert. Ghostscript implementiert den Postscript-Standard, bei dem es sich faktisch um eine vollwertige Programmiersprache handelt. Zwar hat Ghostscript eine schwache Sandbox hierfür, doch regelmäßig werden darin Fehler entdeckt und es ist häufig möglich, die Sandbox auszuhebeln.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Datei-Exfiltrierung mit Libreoffice war die kritischste Lücke, die wir bei unseren Recherchen fanden, aber leider nicht die einzige.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Big Blue Button: Das große blaue SicherheitsrisikoXSS-Lücke und keine sicheren Session-Cookies 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. (u. a. G.Skill 16GB DDR4-3200 Kit für 54,90€, AMD Ryzen 9 3900XT für 419€, MSI B450 Tomahawk...
  2. mit 222,22€ neuer Bestpreis auf Geizhals
  3. (u. a. 970 Evo Plus PCIe-SSD 500GB für 69,30€, T7 Touch Portable SSD 1TB für 137,99€)

Keep The Focus 28. Okt 2020 / Themenstart

Und nicht nur das, Enterprise Niveau sollte wirklich kein Problem sein: https://www.golem...

Keep The Focus 26. Okt 2020 / Themenstart

Nein? Sinn?

WalterSobchak 23. Okt 2020 / Themenstart

Eine Lösung wäre mal das Rechtemanagement in Linux zu nutzen. Der Prozess, der die PDF...

robos 22. Okt 2020 / Themenstart

.. wenn die lauten würde: "Diverse Sicherheitslücken in BigBlueButton durch Golem...

Keep The Focus 21. Okt 2020 / Themenstart

absoluter Mumpitz. Wer solche Aussagen trifft, disqualifiziert sich eher als Entwickler.

Kommentieren


Folgen Sie uns
       


Viewsonic M2 - Test

Der kleine LED-Projektor eignet sich für Präsentationen und als flexibles Kino für unterwegs.

Viewsonic M2 - Test Video aufrufen
    •  /