image

Ernstig beveiligingslek in LibreOffice gedicht

woensdag 29 juni 2016, 11:17 door Redactie, 21 reacties

Onderzoekers van Cisco hebben een ernstig beveiligingslek in LibreOffice ontdekt waardoor een aanvaller in het ergste geval computers kan overnemen als gebruikers een kwaadaardig rtf-document openen. Het probleem wordt veroorzaakt door de manier waarop LibreOffice documenten met zowel stylesheet en superscriptokens verwerkt. Hierdoor wordt het mogelijk om willekeurige code uit te voeren.

Gebruikers krijgen het advies om naar LibreOffice 5.1.4 of nieuwer te upgraden, aangezien oudere versies kwetsbaar zijn. LibreOffice is een populair alternatief voor Microsoft Office. Het is ontwikkeld door The Document Foundation en gebaseerd op OpenOffice.org. LibreOffice is beschikbaar voor Windows, Mac OS X, Android en Linux.

Reacties (21)
29-06-2016, 11:32 door Illnl
en nu kijken of mensen hier net zo doordraaien als bij MS Office berichten...
29-06-2016, 12:10 door Anoniem
Ben benieuwd want ubuntu, mint, etc gaan doen. Repository versie verhogen of aparte fix?
29-06-2016, 12:25 door Anoniem
Door Illnl: en nu kijken of mensen hier net zo doordraaien als bij MS Office berichten...
Waarom zouden ze/we? Geen enkel softwarepakket is 100% waterdicht. Maar het verschil met open source software is wèl dat zodra het bekend is dat er een veiligheidsissue is, deze vaak al op dezelfde dag al gepatcht wordt.

Als ik 's morgens iets lees over veiligheidslek A, en ik kom 's middags thuis en zet mijn laptop aan (met Linux uiteraard, what else?), dan zie ik bij de updates al meteen de patch voor veiligheidslek A staan. Heb je Windows, dan mag je dagen, soms wel weken wachten voordat er een patch beschikbaar is. Heb het vroeger vaak meegemaakt in de tijd dat ik ook nog Windows had.

Al mijn Linux-systemen (heb er op dit moment 12) waren vorige week allemaal al voorzien van LibreOffice 5.1.4. Geen vuiltje aan de lucht. :)
29-06-2016, 12:38 door Ron625 - Bijgewerkt: 29-06-2016, 12:39
*** LibreOffice is een populair alternatief voor Microsoft Office ***

Het is m.i. eerder andersom.
De verplichte openstandaarden voor Europese overheden worden door LibreOffice beter ondersteund dan door Microsoft Office.
29-06-2016, 13:15 door Illnl - Bijgewerkt: 30-06-2016, 12:16
Door Anoniem:
Door Illnl: en nu kijken of mensen hier net zo doordraaien als bij MS Office berichten...
Waarom zouden ze/we? Geen enkel softwarepakket is 100% waterdicht. Maar het verschil met open source software is wèl dat zodra het bekend is dat er een veiligheidsissue is, deze vaak al op dezelfde dag al gepatcht wordt.

Als ik 's morgens iets lees over veiligheidslek A, en ik kom 's middags thuis en zet mijn laptop aan (met Linux uiteraard, what else?), dan zie ik bij de updates al meteen de patch voor veiligheidslek A staan. Heb je Windows, dan mag je dagen, soms wel weken wachten voordat er een patch beschikbaar is. Heb het vroeger vaak meegemaakt in de tijd dat ik ook nog Windows had.

Al mijn Linux-systemen (heb er op dit moment 12) waren vorige week allemaal al voorzien van LibreOffice 5.1.4. Geen vuiltje aan de lucht. :)

Ik raad je aan een willekeurig topic te openen over een lek in Microsoft Office en even de replies te vergelijken met hier...

Je trap tegen microsoft zijn patch beleid snap ik niet helemaal, emergency patches zat...
Maar bedankt, dit laat precies zien wat ik wilde zien, de type responses zijn zeer verschillend op het moment dat je microsoft toevoegd aan het subject of de applicatie waar het over gaat.

P.S., artikel wel gelezen?
2016-04-13 - Initial Vendor Contact

Dus ontdekt in 5.0.4, gepatched in 5.1.4...
dus als je ziet dat men in April dat meldde, en de release date van 5.1.4 public is:
Release 5.1.4 Week 25 , Jun 20, 2016 - Jun 26, 2016
Dan kunnen we dus zeggen dat het direct patchen voorbeeld wat je aanhaalde niet juist is.
29-06-2016, 14:12 door karma4 - Bijgewerkt: 29-06-2016, 14:15
Door Illnl: en nu kijken of mensen hier net zo doordraaien als bij MS Office berichten...
Je hebt het punt waarom ik ook aak reageer. Met het blind òf blond reageren met een anti merk stemming gaat de aandachct wdg voor de echte securiry zaken. Als je afhankkelijk be f van een bepaalde versie dan heb je een lockin. Die is met linux en oss net zo hard en frustrerend als met wat anders.

Erger zolang merk strijden de toon zetten zal de secùrity over de echt gevoelige zaken minder dam wel geen aandacht krijgen.

Patch beleid met linux en oss als er vele applicatieafhankelijkheden zijn? Volg eens limux ze zijn niet in staat het goed bijgehouden te krijgen twee jaar te laat bij update en verouderde unsupported distributie.
29-06-2016, 14:27 door Anoniem
Door Anoniem:
Door Illnl: en nu kijken of mensen hier net zo doordraaien als bij MS Office berichten...
Al mijn Linux-systemen (heb er op dit moment 12) waren vorige week allemaal al voorzien van LibreOffice 5.1.4. Geen vuiltje aan de lucht. :)

Ik zou daar niet zo zeker over zijn. Veel van de libraries bevatten voorspelbaar lekken, ze zijn oud, deels geschreven door niet ervaren programmeurs en onvoldoende gecontroleerd. Het is in feite tegenwoordig makkelijker om LibreOffice aan te vallen via een zero-day lek dan Microsoft Office. Dat zegt veel, want Microsoft Office is een gatenkaas.

In de praktijk gebruiken targets geen LibreOffice en dat zorgt ervoor dat de lekken erin blijven zitten.
29-06-2016, 15:36 door Anoniem
Door karma4:
Door Illnl: en nu kijken of mensen hier net zo doordraaien als bij MS Office berichten...
Je hebt het punt waarom ik ook aak reageer. Met het blind òf blond reageren met een anti merk stemming gaat de aandachct wdg voor de echte securiry zaken. Als je afhankkelijk be f van een bepaalde versie dan heb je een lockin. Die is met linux en oss net zo hard en frustrerend als met wat anders.

Erger zolang merk strijden de toon zetten zal de secùrity over de echt gevoelige zaken minder dam wel geen aandacht krijgen.

Patch beleid met linux en oss als er vele applicatieafhankelijkheden zijn? Volg eens limux ze zijn niet in staat het goed bijgehouden te krijgen twee jaar te laat bij update en verouderde unsupported distributie.

Welke tekstverwerker gebruik jij eigenlijk? Of ligt het aan je toetsenbord.....
29-06-2016, 17:44 door Anoniem
Wie is de grootste boer (met kiespijn)

ofwel: Wel of niet graag naar de tandarts : that's the question..

Vond nog een achterdehand systeempje dat maar liefst 11 vrije versie-nr's achter liep.
Direct geüpdatet naar versie 4.3.7.2 !-) Zo dat is ook weer gefixt. Haha.
Enneh maarreh, rtf-jes kunnen ook prima geopend worden in een of andere simple text editor.
Op elk systeem wel te vinden.

Nu we het toch over texteditors hebben,..
een simple text editor voldoet bovendien al voor heel veel standaard tekstwerkzaamheden en maakt eigenlijk al die zware en of dure tekstverwerkingspaketten gemiddeld genomen nogal werkloos. En wat niet gebruikt wordt wordt nog wel eens vergeten met de updates.
Dat dan ook nog eens.
Effe instellen waar rtf-jes standaard mee dienen te worden geopend, ook zo gefixt.

Anyway,
niet te moeilijk doen is een uitkomst, we vergeten het echter nog wel eens dat dingen ook simpel kunnen.
Maar ja, ik snap het wel, met simpel is wellicht geen bedrijfsmodel langdurig in de lucht te houden. Dus daarom waarom makkelijk doen als het moeilijk kan ...
Hoe het ook zij, LibreOffice is in ieder geval heel veel goedkoper dan dat andere pakket en niet onbelangrijk, het zet je bestanden niet op slot als je dure abonnement is afgelopen (over lockin gesproken!).
Waarom overheden met dat dure lockin-pakket blijven werken is me een raadsel, je maakt jezelf als overheid immers eeuwig afhankelijk van 1 commercieel bedrijf. 'Leg dat maar eens uit bij het blijven toepassen'.

Aangaande gaatjes
Nog even cve.mitre.org bezocht voor de alleraardigste aardigheid.

Kijk en vergelijk de zware pakketten
- 19 x naar de 'tand'arts
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=LibreOffice
- Op kamers bij de tandarts, blijf maar liggen en slapen in die stoel (554 x)
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Microsoft+Office

- De tandarts? O,ja bijna vergeten, de tandarts.
Texteditors op drie Os-en
4 x https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=TextEdit
9 x https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Notepad
11 x https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Gedit

Wat is/wordt jouw security favoriet?
https://en.wikipedia.org/wiki/List_of_text_editors
29-06-2016, 18:03 door karma4 - Bijgewerkt: 29-06-2016, 18:05
Welke tekstverwerker gebruik jij eigenlijk? Of ligt het aan je toetsenbord
Op dit moment geen. Smartphone met autocorrecties die elkaar vaak tegenwerken. Toetsen en scherm is al lastig. Als zo'n apparaat slimmer probeert te zijn gebeurt er van alles.
De verbinding moet ook nog overeind blijven staan..
29-06-2016, 19:38 door [Account Verwijderd]
[Verwijderd]
29-06-2016, 19:39 door [Account Verwijderd]
[Verwijderd]
29-06-2016, 19:53 door Anoniem
Onder Mint is het zelfs LibreOffice 5.1.4/2.
Voor de updates wordt goed gezorgd, ook diverse browsers worden voordat het op security.nl bekent is al geüpdatet.
We hebben het dan over Chrome en Firefox.
29-06-2016, 20:19 door Anoniem
Door karma4: Patch beleid met linux en oss als er vele applicatieafhankelijkheden zijn? Volg eens limux ze zijn niet in staat het goed bijgehouden te krijgen twee jaar te laat bij update en verouderde unsupported distributie.

Geen touw aan vast te knopen. Twee jaar te laat bij een unsupported distributie? Unsupported distributies krijgen geen updates, dus ook zeker niet twee jaar later. Alle ondersteunde distro's krijgen netjes en op tijd hun veiligheidspleisters.
29-06-2016, 20:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door Illnl: en nu kijken of mensen hier net zo doordraaien als bij MS Office berichten...
Al mijn Linux-systemen (heb er op dit moment 12) waren vorige week allemaal al voorzien van LibreOffice 5.1.4. Geen vuiltje aan de lucht. :)

Ik zou daar niet zo zeker over zijn. Veel van de libraries bevatten voorspelbaar lekken, ze zijn oud, deels geschreven door niet ervaren programmeurs en onvoldoende gecontroleerd. Het is in feite tegenwoordig makkelijker om LibreOffice aan te vallen via een zero-day lek dan Microsoft Office. Dat zegt veel, want Microsoft Office is een gatenkaas.

In de praktijk gebruiken targets geen LibreOffice en dat zorgt ervoor dat de lekken erin blijven zitten.

Want? Jij hebt de code helemaal doorgesnuffeld? Als je je hebt verdiept in de materie zou je moeten weten dat het LibreOffice ontwikkelteam een aantal jaren geleden al heel veel oude code opgeschoond en verwijderd heeft. Bovendien gebeurt de eindcontrole door zéér ervaren ontwikkelaars. Er wordt dus niet zomaar code tussen geplakt door Jan en alleman. Ook het werk van minder ervaren programmeurs wordt streng en vakkundig gecontroleerd. Ik kan het weten, want ik ken een aantal mensen uit het LibreOffice-team persoonlijk.

En als het volgens jou makkelijker zou zijn om LibreOffice aan te vallen, waarom gebeurt dit dan niet op grote schaal? Kom nu niet met "kleine userbase", want dat is klinkklare onzin. 125 miljoen gebruikers op dit moment is niet klein. Dat is ongeveer dezelfde grootte aan MacOS (80 miljoen) en Linux-gebruikers (ruim 40 miljoen) bij elkaar. En zelfs OpenOffice, de stamvader van LibreOffice die nog wèl veel legacy code heeft, is ook nog steeds niet aangevallen. Ik bedoel maar...

Uiteraard zullen er nog wel verborgen kwetsbaarheden in zitten. Maar dat geldt voor elk denkbare softwarepakket.

Er wordt hier maar van alles geroepen, zonder dat er feitelijk gewezen wordt naar bronnen die dit bevestigen. "Roeptoeteren" noem ik dat...
29-06-2016, 23:56 door Anoniem
Ik heb twee Linux systemen, op de ene staat Open Office en de andere met Libre Office ga ik effe updaten :) Kost niets en gaat super snel...Nobody is perfect!
30-06-2016, 04:42 door Anoniem
@20:37 door Anoniem

Waarom stel je een vraag die al beantwoord is? Lees eerst eens.

OpenOffice/LibreOffice etc ondersteunen veel bestandsformaten en daar zijn lekken in te vinden. Dat is voorspelbaar en testbaar, want dat blijkt uit het verleden. De grote hoeveelheid (oude) code is niet op te schonen tenzij je volledig opnieuw begint en let op veilige code. Dat is niet gebeurt.

Je stelt verder dat er geen aanvallen/exploits zijn geweest (die zijn er wel, lees de diverse vulnerability rapportages), terwijl er voldoende gebruikers zijn als doel.

Exploits worden vooral ontwikkelt voor bepaalde doelen (in aantal klein), en die gebruiken doorgaans geen LibreOffice. Dat is nu eenmaal zo, het is geen bewijs dat er geen probleem is.

Je mag dan wel een fan zijn van het product, maar dat betekent niet dat je met recht kunt claimen veilig te zijn.
30-06-2016, 07:30 door Anoniem
Goh... Bij het lezen hiervan, ben ik reeds voorzien van een 'recente' versie. Die werd aangeboden bij een Ubuntu update en ik heb er zelf voor gekozen om die te installeren (dat mag ik bij Ubuntu namelijk zelf bepalen...)
Blijkbaar patchen de heren (en dames?) daar sneller dan dat de lekken naar buiten komen. Dat moet ik M$ nog maar eens zien doen :)

(zo tevreden, Illnl??)
30-06-2016, 12:21 door Illnl
Door Anoniem: Goh... Bij het lezen hiervan, ben ik reeds voorzien van een 'recente' versie. Die werd aangeboden bij een Ubuntu update en ik heb er zelf voor gekozen om die te installeren (dat mag ik bij Ubuntu namelijk zelf bepalen...)
Blijkbaar patchen de heren (en dames?) daar sneller dan dat de lekken naar buiten komen. Dat moet ik M$ nog maar eens zien doen :)

(zo tevreden, Illnl??)

Bijna, want nu moet je alsnog tegen microsoft trappen...
Let it go, we get it you don't use it.

Maar begrijp goed, dat je bij windows net zo goed je install discs kan upgraden zodat je niet begint met een lekke versie, maar een fully up to date versie.

Uit je laatste zin kan ik opmaken dat mijn replies je wat frustratie bezorgde, maar mij gaat het enkel om een goede discussie, welke enkel kan bijdragen aan begrip.
Ik heb enkel een afkeer tegen vendor based hatred ( aka fanboys )
30-06-2016, 17:53 door [Account Verwijderd]
[Verwijderd]
01-07-2016, 11:16 door [Account Verwijderd] - Bijgewerkt: 01-07-2016, 11:17
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.