Szerző: Hlács Ferenc

2019. február 7. 13:00

Tetszőleges kódfuttatást engedő sebezhetőséget foltozott a LibreOffice

Az Apache OpenOffice-ból még nem gyomlálták ki a biztonsági rést.

Tetszőleges kódfuttatást lehetővé tevő biztonsági rés bukkant fel két népszerű, nyílt forrású irodai szoftvercsomagban, az ingyenesen elérhető LibreOffice-ban és az Apache OpenOffice-ban is. A hibát Alex Inführ biztonsági szakértő fedezte fel, múlt pénteken pedig nyilvánosságra is hozta, illetve a sérülékenység kihasználásának menetét is lépésről lépésre bemutatta, a nyílt forrású irodai szoftver 6.1.2.1-es verzióján. A hiba a szoftverek Windowsra és Linuxra készült kiadásait is érinti, a LibreOffice csapata már kigyomlálta azt a legújabb verzióból.

Az októberben felfedezett sebezhetőséget kihasználva a potenciális támadók egy megfelelően preparált ODT dokumentummal észrevétlenül futtathatják saját kódjaikat a rendszereken. A támadásoknak az irodai szoftver hiperhivatkozás-beillesztő funkciója enged(ett) utat, annak segítségével ugyanis lehetőség van a dokumentumokba Python scriptekre, vagy a LibreOffice nevezéktanát használva eventekre mutató linkeket is beilleszteni, amelyek ráadásul a kattintás helyett igény szerint "mouseoverrel" is indíthatók, azaz elég a kurzort elhúzni a beillesztett hivatkozás fölött. A helyzetet súlyosbítja, hogy az adott script futtatásáról az irodai szoftver semmilyen formában nem figyelmeztet, így a háttérben az észrevétlenül munkához láthat.

librvuln

Az igazi veszélyt azonban a szoftvercsomagban lévő, úgynevezett "path traversal" sérülékenység jelenti, amely lehetővé teszi, hogy a fenti scriptek ne csak a LibreOffice által kijelölt könyvtárból, de bármilyen más, a számítógépen lévő forrásból is futtathatók legyenek - továbbra is felugró figyelmeztetés nélkül. A szakértő a hibát kihasználva egy, a látszólag üres ODT dokumentum teljes egészét lefedő hivatkozással el tudta indítani a Windows számológép alkalmazását - illetve egyéb, tetszőleges parancsokat is kioszthatott.

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A LibreOffice csapata felé először Inführ a hagyományos bugzilla rendszeren keresztül jelezte a biztonsági rést, ezt a jelentést ugyanakkor a csapat rövid úton le is zárta - mint kiderült, a sebezhetőségek kapcsán jobb emailben felvenni a kapcsolatot a csapat megfelelő tagjaival. Miután ez megtörtént, a sérülékenységet gyorsan orvosolták a LibreOffice fejlesztői, a jelentést követően nem egész két héttel kiadott frissítésben már nem volt kihasználható a fenti sebezhetőség. A szakértő ezután számolt be nyilvánosan is a biztonsági résről.

A bug azonban az Apache OpenOffice-ban is megtalálható, annak jelenlegi legfrissebb, 4.1.6-os verziója még mindig sebezhető, igaz, a bug itt valamivel kisebb mozgásteret ad a támadóknak. Ennek ellenére érdemes lehet a javításig kikapcsolni az irodai szoftverben a Python támogatását, ami a telepítési könyvtárban a pythonscript.py törlésével, vagy ideiglenes átnevezésével egyszerűen megtehető. Egyelőre nincs arra utaló jel, hogy támadók a sebezhetőségeket aktívan kihasználták volna.

Kubernetes képzéseinket már közel 300 szakember végezte el. A nagy sikerre való tekintettel a tanfolyamot aktualizált tananyaggal június 18-án újra elindítjuk! A 8 alkalmas, élő képzés képzés órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról