In der Open Source-Software LibreOffice gibt es in allen Versionen unterhalb von v6.2.5 mehrere Schwachstellen. Das BSI hat zum 17.6.2019 eine Warnung herausgegeben und empfiehlt ein Upgrade auf die aktuelle Version.
Anzeige
LibreOffice ist eine leistungsfähige Office-Suite, voll kompatibel mit den Programmen anderer großer Office-Anbieter, für verbreitete Betriebssysteme wie Windows, GNU/Linux und Apple Mac OS X geeignet. LibreOffice bietet sechs Anwendungen für die Erstellung von Dokumenten und zur Datenverarbeitung: Writer, Calc, Impress, Draw, Base und Math.
Die Warnung des BSI findet sich hier. Betroffene Systeme: Alle Open Source LibreOffice Systeme unterhalb der Version 6.2.5. Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in LibreOffice ausnutzen, um beliebige Befehle mit Benutzerrechten auszuführen oder Sicherheitsvorkehrungen zu umgehen. Dazu muss das Opfer jedoch ein entsprechend modifiziertes Dokument öffnen.
Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen.
Quellen:
Anzeige
- [1] LibreOffice Security Advisories vom 2019-07-16
- [2] LibreOffice Security Advisories vom 2019-07-16
- CB-K19/0110 Update 3
Heise hat hier noch einen Artikel zum Thema veröffentlicht.
Anzeige
Ja gut, es muss ja mal vor LibreOffice gewarnt werden, bevor sie zu mächtig werden.
Ein Upgrade von 6.0.7.3 kommt überhaupt nicht in Frage, solange dieser Bug in Calc in den höheren Versionen besteht. Ich hatte mir mit diesem Bug einige umfangreiche Tabellen zerstört.
https://bugs.documentfoundation.org/show_bug.cgi?id=124129
Was mich an Libre Office extrem stört, ist der Umstand, dass die Behebung von Bugs praktisch immer Jahre dauert, während für neue Buttonstile offenbar genug Programmierressourcen vorhanden sind.
Auf einer Testmaschine habe ich eben mal die 6.3.0.2 mit der Testtabelle aus dem Bugreport getestet und an dem Bug hat sich erwartungsgemäß noch gar nichts verändert. Ich könnte natürlich alle Tabellen mal öffnen und in allen Namen der Tabellenblätter den Punkt durch einen Unterstrich ersetzen, was leider dann die Breite der Tabs vergrößert und die Tabellen noch unübersichtlicher macht. Das größte Problem wird aber sein, dass alleine die Änderungen an einer Tabelle wohl Stunden in Anspruch nehmen wird, da schon das Öffnen, ohne dass alle Zellen aktualisiert werden müssen, bis zu 10 Minuten dauert, da die meisten 15000 Zeilen je Blatt haben und einige aus bis zu 14 Blätter bestehen.
Ergänzung: Ok, solange man die von Calc fälschlicherweise selbst erzeugte externe Verlinkung nicht löst, wird die Tabelle nicht beschädigt. Man müsste eben die Warnung für externe Verlinkungen abschalten, denn das nervt schon.
Ich kann aber per E-Mail/Cloud erhaltene Dokumente mit der 6.0.7 in einer Sandbox von Sandboxie öffnen, die keinen Zugriff auf das Internet hat. :-)
Man mus manchmal denken, dass jeder mit seiner installierten Software ein Angriffsziel ist.
In der Kaufhalle war heute eine Warnung von irgendeinem "Mett". Diese liegen in diesem Laden sichtbar aus und das ist schon lustig. Also wenn man dieses irgendeine "Mett" gegessen hätte, könnte man eventuell irgendwas danach haben oder war erobern. Was dann das sein könnte war für mich zu anstrengend zu lesen. Glasscherben oder Maschinenöl soll oft vorkommen in irgendwelchen Rückholhinweisen der Hersteller. Einzeller oder Consorten soll es auch gegeben haben.
Ist es schlimmer oder wahrscheinlicher von Libre Office oder von einem Mettbrötchen sterben zu können? Können wir diese Frage mal bitte untersuchen!
@ Martin: Volle Zustimmung! Während die Spielkinder ständig am Design verschlimmbessern, schleppt das Paket Fehler mit sich rum, die schon zu OpenOffice-Zeiten gemeldet wurden, z.B. in der verbuggten AutoKorrektur.
Auch ich bleibe bei der 6.0.7er-Version, weil seither keine relevanten Verbesserungen dazugekommen sind, aber dafür die Dateiicons und das Theme platt und farbarm gemacht wurden.
Außerdem nervt es wirklich, dass die Update-Funktion seit Jahren „momentan leider nicht verfügbar" ist, sondern man jede neue Version manuell als Ganzes herunterladen und drüberinstallieren muss – und anschließend jedesmal den Fontordner von den mitgebrachten exotischen Schriften ausmisten kann.
Und bei OpenOffice funktioniert seit Jahren nicht mal die Suche nach Updates, was noch unverständlicher ist.
"Status:
Die Suche nach einem Update ist fehlgeschlagen.
Beschreibung:
Fehler beim Lesen der Daten vom Internet.
Serverfehlermeldung: ."
Der letzte Absatz trifft genau ins Schwarze, darüber habe ich mich auch schon oft geärgert.
Für Schicki-Micki ist kein Aufwand zu groß, obwohl das wie immer nur verhältnismäßig Wenige wollen.
Das Wichtige sollte stets Vorrang haben. Wenn alles passt, kann am Aussehen gearbeitet werden.
Trotzdem möchte ich keine andere Anwendungssoftware haben. Was mit LibreOffice alles geht, ist einfach phänomenal. Nutze ich seit 15 Jahren ausschließlich.
Zu den Sicherheitslücken:
Die eine bezieht sich auf Scripts in LibreLogo. Wenn man LibreLogo/Python-Scripts nicht benutzt, ist es das Sicherste, es ganz zu deaktivieren. – Weiß jemand, wie?
Man kann bei der Installation LibreLogo ganz abwählen. Nur leider kann man hinterher scheinbar nirgends erkennen, ob es installiert ist (und wenn ja, bleibt einem scheinbar nur eine komplette De- und angepasste Neuinstallation – die armen Linux-User…).
Die zweite bezieht sich auf einen „Stealth-Modus", der aber standardmäßig sowieso nicht aktiviert ist. Da Otto Normalanwender diesen Modus sowieso nicht kennt und gar nicht wüsste, wie man ihn aktiviert, kann es ihm auch egal sein, dass er dann an einer Stelle undicht wäre. Diese Sicherheitslücke betrifft also nur Spezialisten, die den Stealth-Modus nutzen.
Am 14. August wurde noch ein Sicherheitsupdate veröffentlicht.
https://blog.documentfoundation.org/blog/2019/08/14/libreoffice-626/
weitere Kurzinfo:
05 Sep 2019
LibreOffice 6.3.1 and LibreOffice 6.2.7 announced, focusing on security
https://blog.documentfoundation.org/blog/2019/09/05/lo-6-3-1-and-lo-6-2-7-announced/