Abo
  • IT-Karriere:

Sicherheit: Libreoffice schließt Lücke, Openoffice bleibt verwundbar

Eine Sicherheitslücke, die die freien Office-Programme Libreoffice und Openoffice betrifft, erlaubt Angreifern das Ausführen von Code mittels einer Skript-Schnittstelle. Von Libreoffice gibt es ein Update, von Openoffice nicht.

Artikel veröffentlicht am , Hanno Böck
Anwender von Openoffice leben gefährlich, denn Sicherheitslücken werden dort nur zögerlich geschlossen.
Anwender von Openoffice leben gefährlich, denn Sicherheitslücken werden dort nur zögerlich geschlossen. (Bild: psubhashish / Wikimedia Commons/CC-BY-SA 3.0)

Eine gefährliche Sicherheitslücke bedroht Nutzer von Openoffice und älteren Versionen von Libreoffice. Mittels der Skript-Funktionalität der freien Office-Suiten gelang es Alex Inführ, einem Mitarbeiter der Sicherheitsfirma Cure53, Schadcode aus einer Opendocument-Textdatei auszuführen. Auf Openoffice wirft das kein gutes Bild: Obwohl die Entwickler vorab informiert wurden, steht kein Sicherheitsupdate bereit.

Stellenmarkt
  1. Universität Paderborn, Paderborn
  2. BWI GmbH, Bonn, Köln, Wilhelmshaven, Potsdam-Schwielowsee

Das von beiden Office-Suiten verwendete Dokumentformat besitzt eine Funktion, mit der man Skripte ausführen kann. Eigentlich sollten dabei nur Skripte ausführbar sein, die in einem bestimmten Verzeichnis mitgeliefert werden.

Directory Traversal: Mit ../../../../ Skripte ausführen

Doch dies ließ sich relativ trivial umgehen: Eine Directory-Traversal-Lücke erlaubte es, Skripte auch aus anderen Verzeichnissen auszuführen, man musste dafür lediglich einen Pfad der Form ../../../../../../[pfad] angeben. Zusätzlich gibt man in der Datei einen Funktionsnamen an. Das bedeutet also, dass ein Angreifer ein beliebiges Python-Skript ausführen kann, wenn er dessen Ort auf der Festplatte des Opfers kennt.

Bei Libreoffice ist es möglich, diesem Skript auch Parameter zu übergeben. Libreoffice liefert seine eigene Implementierung von Python mit und diese haben einen relativen Pfad zum Skriptverzeichnis, damit kann man die dortigen Skripte ansteuern. Alex Inführ fand dort eine Funktion in der Datei pydoc.py, über die sich trivial Code ausführen lässt.

Unter Openoffice funktioniert dieser zweite Teil des Angriffs nicht, da die Parameter für Funktionen dort nicht unterstützt sind. Doch andere Varianten sind denkbar. So könnte etwa ein Angreifer das Opfer zunächst zum Download einer Python-Datei bewegen und diese anschließend im Download-Verzeichnis ausführen. Dafür muss der Angreifer den Namen des Benutzerverzeichnisses oder Homeverzeichnisses kennen, was aber in vielen Fällen leicht erratbar sein dürfte.

Der Entdecker hat den Angriff nach eigenen Angaben unter Linux und Windows getestet, da keine betriebssystemspezifischen Funktionen verwendet werden. Er dürfte aber auch alle anderen von Libreoffice unterstützten Betriebssysteme betreffen.

Aktuelle Versionen von Libreoffice nicht mehr verwundbar

Libreoffice hat für die Directory-Traversal-Lücke ein Update veröffentlicht. Die Versionen 6.0.7 und 6.1.3 sind nicht mehr verwundbar. Anwender sollten schnellstmöglich aktualisieren oder die entsprechenden Updates von Linux-Distributionen installieren. Die Version 6.1.3 wurde bereits im November veröffentlicht, jedoch war die Sicherheitslücke bisher nicht öffentlich bekannt. Viele Anwender dürften daher das Update bereits installiert haben.

Von Openoffice gibt es bislang kein Update. Alex Inführ beschreibt in seinem Blogpost einen Workaround: Nutzer können die Datei pythonscript.py, die für das Ausführen der Skriptfunktionalität zuständig ist, entfernen oder umbenennen.

Openoffice und Libreoffice stammen beide von derselben Codebasis ab. Früher wurde Openoffice von der Firma Sun entwickelt. Nach der Übernahme von Sun durch Oracle kam es zu einem Fork mit dem Namen Libreoffice. Das originale Openoffice landete letztendlich bei der Apache Foundation, wird aber schon seit längerem nicht sehr aktiv weiterentwickelt.

Diskussionen über ungefixte Sicherheitslücken in Openoffice gibt es nicht zum ersten Mal. 2016 veröffentlichte Apache Informationen über eine Memory-Corruption-Lücke, ohne dass ein Update bereitstand. Die Entwickler empfahlen damals stattdessen, dass Antivirenprogramme eine Signatur nutzen könnten, um Angriffe zu erkennen.

In der Folge gab es damals bei Apache Diskussionen, ob man die Entwicklung von Openoffice einstellen sollte. Dazu ist es allerdings bisher nicht gekommen und die Webseite erweckt weiterhin den Eindruck, als handle es sich um ein aktiv betreutes Projekt.

Angesichts einer ungefixten, schweren Sicherheitslücke kann man allen verbleibenden Openoffice-Anwendern nur empfehlen, auf Libreoffice umzusteigen. Zwar gibt es auch dort Sicherheitslücken, aber sie werden immerhin zeitnah geschlossen.



Anzeige
Top-Angebote
  1. mit Gutschein: NBBCORSAIRLUYB19
  2. (u. a. HP Omen 25 FHD-Monitor mit 144 Hz für 175€ statt 199,99€ im Vergleich)
  3. (u. a. mit TV- und Fotoangeboten)
  4. 19€ (ohne Prime oder unter 29€ zzgl. Versand) - Bestpreis!

M.P. 05. Feb 2019

Bei Serienbriefen habe ich mir regelmäßig einen abgebrochen. Liegt aber wohl daran, dass...

hannob (golem.de) 05. Feb 2019

Ich hab den Exploit ausprobiert und bei mir tat es. Ich hab einfach das Beispiel in eine...

ibsi 05. Feb 2019

Entweder Du lädst Dir die Toolbox von IntelliJ: https://www.jetbrains.com/toolbox/app...


Folgen Sie uns
       


Asus Prime Utopia angesehen

Asus zeigt auf der Computex 2019 eine Ideenstudie für ein neues High-End-Mainboard.

Asus Prime Utopia angesehen Video aufrufen
Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.


    Erneuerbare Energien: Die Energiewende braucht Wasserstoff
    Erneuerbare Energien
    Die Energiewende braucht Wasserstoff

    Kein anderes Element ist so universell und dabei simpel aufgebaut wie Wasserstoff und das energiereiche Gas lässt sich aus fast jedem Energieträger gewinnen. Genauso vielseitig gestaltet sich seine Nutzung.
    Ein Bericht von Jan Oliver Löfken

    1. Strom-Boje Mittelrhein Schwimmende Kraftwerke liefern Strom aus dem Rhein
    2. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
    3. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um

    Transport Fever 2 angespielt: Wachstum ist doch nicht alles
    Transport Fever 2 angespielt
    Wachstum ist doch nicht alles

    Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
    Von Achim Fehrenbach

    1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
    2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
    3. Bright Memory angespielt Brachialer PC-Shooter aus China

      •  /