Sicherheit: Libreoffice schließt Lücke, Openoffice bleibt verwundbar

Eine Sicherheitslücke, die die freien Office-Programme Libreoffice und Openoffice betrifft, erlaubt Angreifern das Ausführen von Code mittels einer Skript-Schnittstelle. Von Libreoffice gibt es ein Update, von Openoffice nicht.

Artikel veröffentlicht am , Hanno Böck
Anwender von Openoffice leben gefährlich, denn Sicherheitslücken werden dort nur zögerlich geschlossen.
Anwender von Openoffice leben gefährlich, denn Sicherheitslücken werden dort nur zögerlich geschlossen. (Bild: psubhashish / Wikimedia Commons/CC-BY-SA 3.0)

Eine gefährliche Sicherheitslücke bedroht Nutzer von Openoffice und älteren Versionen von Libreoffice. Mittels der Skript-Funktionalität der freien Office-Suiten gelang es Alex Inführ, einem Mitarbeiter der Sicherheitsfirma Cure53, Schadcode aus einer Opendocument-Textdatei auszuführen. Auf Openoffice wirft das kein gutes Bild: Obwohl die Entwickler vorab informiert wurden, steht kein Sicherheitsupdate bereit.

Stellenmarkt
  1. Full Stack Java Software Developer (m/w/d)
    NOVENTI Health SE, Lübeck (Home-Office möglich)
  2. Juristischer Berater (m/w/d) IT
    VBL. Versorgungsanstalt des Bundes und der Länder, Karlsruhe
Detailsuche

Das von beiden Office-Suiten verwendete Dokumentformat besitzt eine Funktion, mit der man Skripte ausführen kann. Eigentlich sollten dabei nur Skripte ausführbar sein, die in einem bestimmten Verzeichnis mitgeliefert werden.

Directory Traversal: Mit ../../../../ Skripte ausführen

Doch dies ließ sich relativ trivial umgehen: Eine Directory-Traversal-Lücke erlaubte es, Skripte auch aus anderen Verzeichnissen auszuführen, man musste dafür lediglich einen Pfad der Form ../../../../../../[pfad] angeben. Zusätzlich gibt man in der Datei einen Funktionsnamen an. Das bedeutet also, dass ein Angreifer ein beliebiges Python-Skript ausführen kann, wenn er dessen Ort auf der Festplatte des Opfers kennt.

Bei Libreoffice ist es möglich, diesem Skript auch Parameter zu übergeben. Libreoffice liefert seine eigene Implementierung von Python mit und diese haben einen relativen Pfad zum Skriptverzeichnis, damit kann man die dortigen Skripte ansteuern. Alex Inführ fand dort eine Funktion in der Datei pydoc.py, über die sich trivial Code ausführen lässt.

Golem Akademie
  1. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    9.–10. Dezember 2021, virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    1.–2. Dezember 2021, virtuell
Weitere IT-Trainings

Unter Openoffice funktioniert dieser zweite Teil des Angriffs nicht, da die Parameter für Funktionen dort nicht unterstützt sind. Doch andere Varianten sind denkbar. So könnte etwa ein Angreifer das Opfer zunächst zum Download einer Python-Datei bewegen und diese anschließend im Download-Verzeichnis ausführen. Dafür muss der Angreifer den Namen des Benutzerverzeichnisses oder Homeverzeichnisses kennen, was aber in vielen Fällen leicht erratbar sein dürfte.

Der Entdecker hat den Angriff nach eigenen Angaben unter Linux und Windows getestet, da keine betriebssystemspezifischen Funktionen verwendet werden. Er dürfte aber auch alle anderen von Libreoffice unterstützten Betriebssysteme betreffen.

Aktuelle Versionen von Libreoffice nicht mehr verwundbar

Libreoffice hat für die Directory-Traversal-Lücke ein Update veröffentlicht. Die Versionen 6.0.7 und 6.1.3 sind nicht mehr verwundbar. Anwender sollten schnellstmöglich aktualisieren oder die entsprechenden Updates von Linux-Distributionen installieren. Die Version 6.1.3 wurde bereits im November veröffentlicht, jedoch war die Sicherheitslücke bisher nicht öffentlich bekannt. Viele Anwender dürften daher das Update bereits installiert haben.

Von Openoffice gibt es bislang kein Update. Alex Inführ beschreibt in seinem Blogpost einen Workaround: Nutzer können die Datei pythonscript.py, die für das Ausführen der Skriptfunktionalität zuständig ist, entfernen oder umbenennen.

Openoffice und Libreoffice stammen beide von derselben Codebasis ab. Früher wurde Openoffice von der Firma Sun entwickelt. Nach der Übernahme von Sun durch Oracle kam es zu einem Fork mit dem Namen Libreoffice. Das originale Openoffice landete letztendlich bei der Apache Foundation, wird aber schon seit längerem nicht sehr aktiv weiterentwickelt.

Diskussionen über ungefixte Sicherheitslücken in Openoffice gibt es nicht zum ersten Mal. 2016 veröffentlichte Apache Informationen über eine Memory-Corruption-Lücke, ohne dass ein Update bereitstand. Die Entwickler empfahlen damals stattdessen, dass Antivirenprogramme eine Signatur nutzen könnten, um Angriffe zu erkennen.

In der Folge gab es damals bei Apache Diskussionen, ob man die Entwicklung von Openoffice einstellen sollte. Dazu ist es allerdings bisher nicht gekommen und die Webseite erweckt weiterhin den Eindruck, als handle es sich um ein aktiv betreutes Projekt.

Angesichts einer ungefixten, schweren Sicherheitslücke kann man allen verbleibenden Openoffice-Anwendern nur empfehlen, auf Libreoffice umzusteigen. Zwar gibt es auch dort Sicherheitslücken, aber sie werden immerhin zeitnah geschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Giga Factory Berlin
Warum Tesla auf über eine Milliarde Euro verzichten musste

Tesla kann die Milliarde Euro Förderung für die Akkufabrik Grünheide nicht beantragen - weil es sonst zu Verzögerungen beim Einsatz neuer Technik käme.

Giga Factory Berlin: Warum Tesla auf über eine Milliarde Euro verzichten musste
Artikel
  1. Nachhaltigkeit: Kawasaki plant E-Motorräder und Wasserstoff-Verbrenner
    Nachhaltigkeit
    Kawasaki plant E-Motorräder und Wasserstoff-Verbrenner

    Kawasaki will elektrische Antriebe für seine Fahrzeuge entwickeln, 2022 sollen drei Elektromotorräder erscheinen.

  2. Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.
     
    Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.

    Nach gut drei Wochen voller Rabatte und Schnäppchen endet heute Abend mit dem Cyber Monday die Black Friday Woche.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Doppelbildschirm: Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg
    Doppelbildschirm
    Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg

    Das Kickstarter-Projekt Slidenjoy kann nach 6 Jahren seinen Doppelbildschirm Slide für Notebooks ausliefern.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • WD Blue SN550 2 TB ab 149€ • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops • Cooler Master V850 Platinum 189,90€ • Astro Gaming Headsets [Werbung]
    •  /