LibreOffice 6.2.5で修正された任意コード実行可能な脆弱性、完全には修正されていない 35
修正 部門より
LibreOfficeで任意コード実行が可能な脆弱性(CVE-2019-9848)が見つかり、バージョン6.2.5で修正されたのだが、完全には修正されていないようだ(The Registerの記事)。
LibreOfficeに標準でインストールされるオプションのコンポーネント「LibreLogo」では、WriterにLOGOのプログラムコードを書くことでタートルグラフィックスの描画ができる。コードはPythonのコードへ変換後に実行されるのだが、適切なチェックが行われていないため、Writer上に書いたPythonのコードは一部がそのまま実行される。これをイベントハンドラーによるマクロ実行と組み合わせ、LibreLogoの「run」マクロを指定すれば警告なしに任意コードが実行可能だ(JRE不要)。
これについてLibreOffice 6.2.5では、ドキュメントのイベントハンドラーからLibreLogを呼び出せないように修正したと説明されているが、Pythonコードのチェックについては触れられていない。実際にLibreLogoツールバーからプログラムを実行すれば、以前のバージョンと同様にPythonコードが実行される。また、脆弱性を発見したERNWが公開しているハイパーリンクのイベントハンドラーを利用するPoCはブロックされるものの、「文書を開いた時」などのイベントにマクロを割り当てれば実行可能だった。この脆弱性を使用するエクスプロイトはMetasploitにも追加され、バージョン6.2.5でも動作するようだと説明されている。そのため、この脆弱性を悪用する攻撃を回避するには、LibreLogoを削除するのが確実だ。
The Document FoundationはThe Registerに対し、バージョン6.2.5では部分的な修正にとどまることを認めている。その理由として別の方法でも脆弱性を呼び出せることを挙げ、近日リリース予定のバージョン6.3/6.2.6で修正するとも述べているが、Pythonコードがそのまま実行される問題を修正するつもりはないようだ。また、マクロのセキュリティ設定にかかわらず実行されることに関しては、実行されるのはマクロではなく、プログラムがPythonを呼び出すのだと主張している。ただし、安全性を高めるためLibreLogoを拡張機能として分離することも検討しているそうだ。
予想以上にひどくてワラタ (スコア:2, おもしろおかしい)
https://insinuator.net/2019/07/libreoffice-a-python-interpreter-code-e... [insinuator.net]
これが実行されるのが仕様ってあんまりでは。
Re: (スコア:0)
まるで電卓が悪者みたいじゃないかっ!
Re:予想以上にひどくてワラタ (スコア:1)
Windowsの三大被害者
・calc.exe
・notepad.exe
・cmd.exe
自分が悪くなくてもexploitによってさらし者になる運命なのだよ
Re: (スコア:0)
それらに脆弱性緩和機能が追加される日も近いな。
# Microsoftならやりかねん
Re: (スコア:0)
powershellにはリモートから(操作を指示されたユーザによって)任意の(スクリプトファイルに記載された)コードを実行する脆弱性に対する緩和機能があります。
わざわざユーザが明示的にスクリプトの実行を可能に設定しないとスクリプトファイルを実行できないあれです。
でも拡張子が.batなファイルを実行するだけで実行できるcmd.exeには同様の緩和策がいつまでたっても搭載されません。
多分されないでしょう。
Re: (スコア:0)
execution policyの事であれば、powershell.exe実行時の引数に、
「-ExecutionPolicy Unrestricted」を付与することによって、
ps1ファイルに書かれた任意のコードを実行できてしまいますし、
「-Command」引数を使用すれば、やはり任意のコードを実行できてしまいます。
# ユーザーの誤操作防止用の機能ですし、緩和策にならないのでは?
Re: (スコア:0)
とりあえず、ファイルをダブルクリックで実行で動かなきゃ十分緩和策ですよ。
PowerShellでやれることはEXEファイルと変わらないし。
Re: (スコア:0)
必要十分な緩和策でしょ。
使うユーザーは意識するし、使わないユーザーのところで勝手に動かなければ、9割以上防げる対策になるんじゃない?
Re: (スコア:0)
大元のコメはexe実行の話であって、
ps1ファイルをダブルクリックした時の話ではないのだけれども?
#libreofficeのマクロから実行の話だし
Re: (スコア:0)
悪の枢軸ってことならemacsあたりにしておくべきだったね。
Re: (スコア:0)
Microsoft Officeの代替を目指す以上、同等かそれ以上のセキュリティーリスクも必要なのかな。
Re: (スコア:0)
Microsoft OfficeもVBAで同様に外部プログラムを実行できると思いますけれど。
Re:予想以上にひどくてワラタ (スコア:1)
セキュリティー設定変えないと警告がでますし、十年以上前からのXMLタイプの新形式だと、マクロが含まれるなら拡張子が.xlsmでないと動かない。
Re:予想以上にひどくてワラタ (スコア:1)
> セキュリティー設定変えないと警告がでますし
LibreOfficeのマクロ実行はデフォルトだと署名付きしか実行できない設定だし、
そこから設定でセキュリティレベルを下げる場合も、
「(MS Officeと同様に)開いた際に実行するかしないか確認する」と、
「確認なく実行する(非推奨であることを明記)」と2段階あるわけだけれども。
そこらへん理解して発言してます?
> 拡張子が.xlsmでないと動かない。
Windowsのデフォルト設定なら拡張子なんて見えないし、攻撃する側からしたら
拡張子を「.xls」にするか、例えばRLOを利用して「.xlsx」が拡張子のように見せかけるだけでしょ。
Re: (スコア:0)
その設定関係なく、イベントハンドラに割り当てると実行されてしまうってのが
書いてあるわけだが、お前こそ理解できてんのか?
Re: (スコア:0)
だからそういう話じゃないの?
Re: (スコア:0)
次回で修正されるらしいじゃないですか
ちゃんとしっかりと対策されて
LibreOfficeからはcalc.exeが実行されないようになりますよ
その次のリリースではnotepad.exeが実行されないようになりますよ
更にその次のリリースでは(ry
意味が分からんな (スコア:1)
セキュリティリスクと利便性はトレードオフだが、いったい誰がWriterの本文に書いたPythonを実行できることを望むというのか。
セキュリティリスクを負ってまでこの機能を残す意味がわからん。
Re: (スコア:0)
一部プログラマが「俺の書いたコード」を残そうと頑張っちゃってるんじゃないの?
Re: (スコア:0)
一部プログラマが「俺の書いたコード」を残そうと頑張っちゃってるんじゃないの?
まさに無能な働き者
Re: (スコア:0)
働き者ならば少なくとも「数」をこなしていると思うんだけど
何故いつまでも無能でいられるんだろう?
どんな馬鹿者でも、数さえこなせば多少は何かを学習するものじゃないのか。
現実として、「無能な働き者」というカテゴリの人間は存在し得るんだろうか?
Re:意味が分からんな (スコア:2)
そのためには、自分が原因であると自覚しないといけない。
本人が他人事にしてしまって原因を理解しないとか、まわりがうまくやってハデな問題にならなかったとか、そういう状況はよくありそうだが。
Re: (スコア:0)
まず自分が無能だと自覚しなければ学習もクソもなくね?
そして他の業界は知らぬがSE業界では「とにかく数をこなさないと納期に間に合わない」なんて事態はいくらでも起きるので、どれだけ数をこなしても無能を自覚するどころか「数をこなせる自分は優秀」まであるわけで。
不具合が出ても他人が手掛けた部分が悪い。自分のコードを勝手に書き換えたとか言い出す。
というか、実際に居た。無能な働き者って本当に手に負えないぞ……。
Re: (スコア:0)
少なくとも、プログラマーというカテゴリーでは、大量のコードを書くが
もっと楽な方法を調べたり考えたりとか、そもそもそのコードを書く必要があるのかなどを
全く考えない人がいる。ソフトウェアを書いて飯を食ってる人の少なくとも半分くらいは
こういう人たちじゃないかな。
クリーンなコードを破壊すると言うことに関してはものすごく優秀なので、
ライバル企業に押し込むことができたら、有能と言えるのかもしれない。
Re: (スコア:0)
有能なプログラマーなら毎日の生産量はむしろマイナスになったりするもので、数ばかりこなすというのはまさに無能の証
Re: (スコア:0)
>まさに無能な働き者
基本優秀で仕事もやるんだけど(だから抜けられるのも困るけど)、ナイーブかつ批判されるのが大嫌いでちょっと扱いづらいタイプとかかも
Re: (スコア:0)
Jupyter Notebookの代わりに使おうという人がいるかもしれない(ないない
Re: (スコア:0)
率直に言ってMicrosoft Officeの互換ソフトであることが存在意義なのに
こんな誰得な独自拡張を積極的に仕込むもんなんですね
Re: (スコア:0)
模倣か互換か改善か独自か、ポリシーが一貫しないのがこのプロジェクトの失敗要因だと思う。
完全な模倣に集中していたら、もっとずっと有用なソフトになっていただろうなあ。
独自に集中していたら大化けするか、今よりもっと存在感が無くなっていたかだが、どうせ今も結構ひどい状況だし。
Re: (スコア:0)
それはMS Officeを買えない人の考え方だよ
もともと、LibreOfficeの系譜は1985年に遡るもので
MS Officeが、抱き合わせ販売で市場を支配する前からあるものだよ。
だから、MS Officeがいらないけど
オフィススイート自体は使う人にとって有用なんだよ。
シェアの高いMS Officeとの互換性が必要かどうかは
場合によるけど、Lotus 1-2-3と互換性があれば充分という人もいるでしょ?
まぁ、日本語対応していなかったStar Division StarOfficeを
日本で知っていた人は、非常に限られるわけだけどさ…
Re: (スコア:0)
1983 Microsoft Multi-Tool Word (Xenix, DOS)
1985 Microsoft Word for Mac
1985 StarWriter (CP/M)
...
1989 Microsoft Word for Windows
1989 Microsoft Office for Mac
1990 Microsoft Office for Windows
1994 StarOffice 2.0 (StarWriter, StarCalc and StarBase for Windows 3.1)
Office Stuiteとしても後発やな
そろそろフォークの時機到来かな (スコア:0)
初期に比べるとだいぶモッサリになってきたし
Re: (スコア:0)
初期の方がモッサリしていたような。
Re: (スコア:0)
6.0.xの時に以前と比べたら高速化しましたよ
まだSSDでも起動速度が気になるけど