Lek in LibreOffice

Vragen over software en applicaties
nahjo
Held
Held
Berichten: 369
Lid geworden op: Vr 23 Okt 2015, 12:45

Lek in LibreOffice

Berichtdoor nahjo » Za 10 Feb 2018, 17:14

De stopwatch is ingedrukt en ben benieuwd wanneer de update aangeboden zal worden .
Het lek https://github.com/jollheef/libreoffice ... disclosure kan alleen misbruikt worden als je even wilt meewerken dus even goed opletten wat je binnen haalt.
LM18.3xfce
Jamint
Nieuweling
Nieuweling
Berichten: 7
Lid geworden op: Zo 21 Jan 2018, 22:10

Re: Lek in LibreOffice

Berichtdoor Jamint » Ma 12 Feb 2018, 18:29

De stopwatch is ingedrukt en ben benieuwd wanneer de update aangeboden zal worden .
Het lek https://github.com/jollheef/libreoffice ... disclosure kan alleen misbruikt worden als je even wilt meewerken dus even goed opletten wat je binnen haalt.
Bij mij staat geïnstalleerd in Linux 18.01: Libreoffice 5.1.6.2
Behoort dus tot de kwetsbare versies.
:(
Ik heb nog nooit een update melding ontvangen van Libreoffice en ik kan geen eenduidigheid vinden hoe het geupdate moet worden. Ik heb de update wel gedownload maar hoe verder? Overal en nergens heeft iemand - hoe goed bedoelt ook - er een andere visie op.
Eerst wel deïnstalleren of niet nodig, dan weer bij voorkeur ja om conflicten te voorkomen. Deïnstalleren m.b.v. de Software repository is OK en weer een ander stelt dat het moet via Terminal om te voorkomen dat resten van de oude installatie in conflict komen met de nieuwe.
Ik heb daardoor de indruk dat er veel ruis is en LibreOffice ligt hieraan vermoedelijk ten grondslag.
Met nadruk:
Ik vind het moeilijk om kritiek te geven op in principe gratis software en LibreOfiice is prima gratis software, maar het zou heel mooi zijn als zij in staat waren voor alle platformen: Linux en verwanten, maar ook Apple en Windows eenduidige informatie te verschaffen hoe een update moet worden uitgevoerd.
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 2141
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Lek in LibreOffice

Berichtdoor Joan » Ma 12 Feb 2018, 22:13

Kritiek is prima als je het kan beargumenteren.
Ieder computersysteem en elk Softwarepakket (repository) heeft zijn eigen programmatuur en daardoor is het niet mogelijk om een standaard oplossing te geven.
Ondanks alle goede bedoelingen is er daardoor op het internet meer ruis dan exacte aanwijzingen, omdat iedere installatie anders is en iedereen andere programma's en instellingen heeft. Hierdoor is het moeilijk om de problemen precies te analyseren, waardoor de gegeven oplossingen vaak niet werken.

De melding van nahjo heeft te maken met Exel bestanden wat ook van invloed kan zijn in LibreOffice, maar dit probleem kan alleen ontstaan bij het gebruik van die heel speciale functie. Dus je hoeft je geen zorgen te maken als je die speciale functie niet gebruikt.

Linux Mint is Linux Mint en geen Windows, Mac, Android of welk ander GNU/Linux systeem. Het heeft zijn eigen bijwerksysteem dat zelfs op andere GNU/Linux systemen waarschijnlijk niet zal werken.
Als je Libreoffice via de installatie van Linux Mint hebt, kan je het via Softwarebeheer (Programmabeheer) en zelfs via het Menu wissen.
Maar dat is in geval van veiligheidsproblemen niet nodig, want die krijg je snel aangeboden met de Updates als het echt een probleem is (het rode ! uitroepteken).
Als je niveaus 1-2-3 in Updatebeheer hebt aanstaan gaat normaal alles goed en hoef je je nergens zorgen over te maken.
Niveau 4 en 5 heb je als gewone gebruiker echt niet nodig.
In de Updatelijst kun je zien voor welke programma's een update beschikbaar is. Er staan ook veel namen bij waarvan de meeste gebruikers niet weten waarvoor ze zijn. Niets van aantrekken. Je kunt op niveau 1-2-3 blindelings vertrouwen.

"Ik heb de update wel gedownload maar hoe verder? "
Dat is wat ik bedoel. Veel aanwijzingen zonder exacte oplossing. Niet doen, is onnodig. Gewoon afwachten op de updates en deze regelmatig (dagelijks) door Updatebeheer laten installeren.
(Wel verstandig om voor een update een backup te maken, want een pc kan altijd een steekje laten vallen, het zijn net mensen.)
Wil je een duidelijk antwoord? Stel dan een duidelijke vraag. , Kijk hoe dat moet bij Tips voor forumberichten.
Gebruikersavatar
shoshinsha
Nieuweling
Nieuweling
Berichten: 27
Lid geworden op: Do 09 Nov 2017, 14:26
Locatie: Amersfoort

Re: Lek in LibreOffice

Berichtdoor shoshinsha » Di 13 Feb 2018, 14:24

Op de site Computertip staat de pagina https://sites.google.com/site/computertip/libreoffice, waar onder punt 11 - met een zekere waarschuwing - wordt uitgelegd hoe een nieuwere versie van Libre Office kan worden geïnstalleerd. Er wordt er daarbij vanuit gegaan dat er een PPA-versie aanwezig is. Ik denk dat de "standaard"versie die bij de Mintinstallatie geleverd wordt geen PPA is, maar via Programmabeheer (vroeger: Softwarebeheer) of/en Synaptic pakketbeheer kan de bestaande versie ook verwijderd worden.
Ik kan me overigens niet herinneren ooit een update van Libre Office binnen te hebben gekregen via Bijwerkbeheer (Updatebeheer) bij de verschillende MIntversies die ik tot nu toe gebruikt heb (versie 13, 17, 17.1, 17.3 en nu 18.3).
HP-15-Notebook-PC Linux Mint 18.3 Xfce Sylvia
nahjo
Held
Held
Berichten: 369
Lid geworden op: Vr 23 Okt 2015, 12:45

Re: Lek in LibreOffice

Berichtdoor nahjo » Di 13 Feb 2018, 17:43

De melding van nahjo heeft te maken met Exel bestanden wat ook van invloed kan zijn in LibreOffice, maar dit probleem kan alleen ontstaan bij het gebruik van die heel speciale functie. Dus je hoeft je geen zorgen te maken als je die speciale functie niet gebruikt.
Ik maak me wel zorgen Joan:
Impact
It is easy to send any files with keys, passwords and anything else. 100% success rate, absolutely silent, affect LibreOffice prior to 5.4.5/6.0.1 in all operation systems (GNU/Linux, MS Windows, macOS etc.) and may be embedded in almost all formats supporting by LO.
De boef heeft de kans om heel veel systemen te raken: (GNU/Linux, MS Windows, macOS etc.)
Het is niet alleen een excel dingetje:and may be embedded in almost all formats supporting by LO
Het is ook geen macro die je kan uitschakelen. Heb je anders een tip hoe je die speciale functie kan uitschakelen? LibreOffice supports COM.MICROSOFT.WEBSERVICE function:
LM18.3xfce
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 2141
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Lek in LibreOffice

Berichtdoor Joan » Wo 14 Feb 2018, 00:35

Enkele citaten uit de informatie.

Bewijs van het concept van de kwetsbaarheid van externe arbitraire bestandsverwijzingen op LibreOffice (wat betekent dat?)

LibreOffice supports COM.MICROSOFT.WEBSERVICE function:
https://support.office.com/en-us/articl ... b7ce1562c4
This article describes the formula syntax and usage of the WEBSERVICE function in Microsoft Excel.
Notes:
The WEBSERVICE function is only available in Excel 2013 and Excel 2016 for Windows.
NOTE: This function may appear in the function gallery in Excel for Mac, but it relies on features of the Windows operating system, so it will not return results on Mac.


The function is required to obtain data by URL, usually used as:
=FILTERXML(WEBSERVICE("http://api.openweathermap.org/data/2.5/ ... its=metric");"number(/weatherdata/forecast/time[2]/temperature/@value)")

Ja, dat probleem kan ook ontstaan als een Excel bestand met die functie in LibreOffice wordt gebruikt.
Gebruik die functie niet en je hebt nergens last van.
Wil je een duidelijk antwoord? Stel dan een duidelijke vraag. , Kijk hoe dat moet bij Tips voor forumberichten.
Gebruikersavatar
Pjotr
Held
Held
Berichten: 537
Lid geworden op: Zo 03 Jan 2016, 15:44

Re: Lek in LibreOffice

Berichtdoor Pjotr » Wo 14 Feb 2018, 10:56

Staar jezelf niet blind op het versienummer van Libre Office. De ontwikkelaars van Ubuntu/Mint brengen regelmatig veiligheidsreparaties uit voor programma's, waardoor het "bovenstroomse" versienummer van zulke programma's niet verandert. Het is open-bronprogrammatuur, dus ook benedenstrooms kan men eraan sleutelen.

Zoek maar eens op de Engelse termen "cherry picking" en "backporting".

Theoretisch voorbeeld: Libre Office 5.1.6 (bovenstrooms versienummer) krijgt benedenstroomse veiligheidsreparatie, waardoor het benedenstroomse versienummer verandert in 5.1.6.2.

Het lijkt dan alsof die versie onveilig is omdat 5.1.6 bovenstrooms als onveilig is aangemerkt, maar dat hoeft dus helemaal niet zo te zijn. :D

Tot slot: bij pakketten die afkomstig zijn uit de pakketbron Main van Ubuntu, zoals Libre Office, hoef je je eigenlijk nooit zorgen te maken over tijdige veiligheidsreparaties. Want die vallen rechtstreeks onder de verantwoordelijkheid van Canonical. Alleen bij spul uit Universe of Multiverse, die worden beheerd door de gemeenschap, laten de MOTU's wel eens wat steken vallen.....
Tip: doe deze 10 dingen direct na installatie van Linux Mint 19
Houd je Linux Mint gezond: vermijd deze 10 fatale vergissingen
Twitter: Linuxtip
Alles is te kraken, niets is geheel veilig, zorg dus voor zoveel mogelijk niets. (Ramana)
nahjo
Held
Held
Berichten: 369
Lid geworden op: Vr 23 Okt 2015, 12:45

Re: Lek in LibreOffice

Berichtdoor nahjo » Wo 14 Feb 2018, 18:04

Mooi vertrouwen is goed maar controleren is beter 8)

1 Start calc met een nieuw schoon werkblad
2 voer in een veld (A1) de volgende formule in:

Code: Selecteer alles

=WEBSERVICE("/etc/passwd")
3 sla het bestand op als ODS (dus niet als excel)
4 sluit het werkblad en eventuel ook calc
5 open het bestand dat je net gemaakt hebt.
6 krijg je een melding van iets als "Koppeling naar andere bestanden Wilt u deze bijwerken?" dan zit je met een goede versie.
krijg je geen melding dan moet je goed blijven opletten wat je binnen haalt. Veranderen maar eens de achtergrond kleur van het veld met de formule of sleep dat veld (ala kopieeren) naar beneden.

Het is geen ramp als je LO nog niet is bijgewerkt maar je moet dan niet blindelings vertrouwen hebben dat een .ods bestandje veilig geopend kan worden. (Krijg je wel vaker .ods bestanden van die bron?)
LM18.3xfce
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 2141
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Lek in LibreOffice

Berichtdoor Joan » Wo 14 Feb 2018, 22:11

Als de ontdekker van een probleem geen oplossing geeft kun je er verder niets mee.

Om eventueel problemen met dit onderwerp te voorkomen kan je een bestand in een afgesloten VM of zonder internet openen en controleren voordat er verder mee gewerkt wordt. Je kunt ook afwachten op een update of het programma niet gebruiken.

Met internet, smart-phone en steeds meer IoT kun je alles in huis halen. Je hebt ook niet meer alle sleutels in handen (Facebook, Google, Twitter, app's, , ,).
Het is je aluminium hoedje op en internet afsluiten of accepteren dat je niet meer alle ramen kan sluiten.

Een voordeel heb je wel, je kunt goede backups bijhouden en die herplaatsen als je vreemde acties ontdekt.
Wil je een duidelijk antwoord? Stel dan een duidelijke vraag. , Kijk hoe dat moet bij Tips voor forumberichten.
nahjo
Held
Held
Berichten: 369
Lid geworden op: Vr 23 Okt 2015, 12:45

Re: Lek in LibreOffice

Berichtdoor nahjo » Do 15 Feb 2018, 17:17

Als de ontdekker van een probleem geen oplossing geeft kun je er verder niets mee.
De oplossing is updaten naar de nieuwste LO versie.
Om eventueel problemen met dit onderwerp te voorkomen kan je een bestand in een afgesloten VM of zonder internet openen en controleren voordat er verder mee gewerkt wordt.
Helaas je ziet niet wat er gebeurt als je het bestand opent. Je merkt het niet. Doe maar eens de test zoals eerder beschreven.
Je kunt ook afwachten op een update
Juist daarom is de stopwatch ingedrukt (zie het begin van dit topic).
LM18.3xfce
Gebruikersavatar
Joan
LMNLVip
LMNLVip
Berichten: 2141
Lid geworden op: Do 16 Feb 2012, 00:49
Contact:

Re: Lek in LibreOffice

Berichtdoor Joan » Do 15 Feb 2018, 20:18

Als ik de (jouw) formule in een calc-cel zet (kopie/plak) dat zie ik een hele lijst met verwijzingen in/uit /etc. Klik ik daarna op die cel om te bewerken dan verschijnt de formule.
Ik heb niet gecontroleerd wat het in de andere LibvreOffice onderdelen doet, dus wie weet.
Ik weet het niet zeker, maar volgens mij kan je alle cellen doorzoeken op inhoud. Dan moet je die formule ook kunnen vinden.

Verwijzen naar een update is een ander het werk laten doen. Dan is het niet fair om naar Linux te wijzen als de update niet klaarstaat, die zijn er altijd snel bij als het ernst is.
LibreOffice zou het probleem moeten oplossen en daarna kan Linux het doorgeven.
Wil je een duidelijk antwoord? Stel dan een duidelijke vraag. , Kijk hoe dat moet bij Tips voor forumberichten.
nahjo
Held
Held
Berichten: 369
Lid geworden op: Vr 23 Okt 2015, 12:45

Re: Lek in LibreOffice

Berichtdoor nahjo » Do 15 Feb 2018, 20:55

Joan,
je LO versie is lek!
En LO heeft updates beschikbaar en die kun je nu al handmatig installeren.
Helaas nog niet via de update mogelijkheden van Linux Mint maar die stopwatch loopt.

https://www.security.nl/posting/549757/ ... +bestanden
LM18.3xfce
nahjo
Held
Held
Berichten: 369
Lid geworden op: Vr 23 Okt 2015, 12:45

Re: Lek in LibreOffice

Berichtdoor nahjo » Vr 23 Feb 2018, 18:31

De stopwatch is ingedrukt en ben benieuwd wanneer de update aangeboden zal worden .
Het lek https://github.com/jollheef/libreoffice ... disclosure kan alleen misbruikt worden als je even wilt meewerken dus even goed opletten wat je binnen haalt.
en stop de tijd.
Ik zie dat LO 5.1.6.2 is bijgewerkt in LM 18.3. Helaas is er in LM 17.3 nog geen veilige update aangeboden.
LM18.3xfce
nahjo
Held
Held
Berichten: 369
Lid geworden op: Vr 23 Okt 2015, 12:45

Re: Lek in LibreOffice

Berichtdoor nahjo » Za 24 Feb 2018, 17:03

Update:
in LM 18+ is LibreOffice 5.1.6.2 bijgewerkt (build xenial) zodat het "WEBSERVICE" probleem is opgelost.
in LM 17+ is LibreOffice 5.1.6.2 vreemd genoeg niet bijgewerkt (build trusty) en is het probleem nog steeds aanwezig.

tip voor LM 17+ gebruikers stap over op LO 5.4.5.1 door het toevoegen van een PPA

Code: Selecteer alles

sudo add-apt-repository ppa:libreoffice/libreoffice-5-4
Probleem is:
in LibreOffice is de functie "WEBSERVICE" in oudere versies te misbruiken door bijvoorbeeld een gebruiker een vragenlijst te laten downloaden en te verwerken. In de oudere niet bijgewerkte LO versies krijgt de gebruiker dan geen melding dat er een externe functie is toegepast en laat het toe dat lokale bestanden gelezen kunnen worden.
De bijgewerkte LO versies geven dus wel een waarschuwing bij het openen van het bestand en zelfs een foutmelding wanneer de functie gebruikt wordt voor een lokaal bestand.
LM18.3xfce
Leon

Re: Lek in LibreOffice

Berichtdoor Leon » Za 24 Feb 2018, 18:17

Update:
in LM 18+ is LibreOffice 5.1.6.2 bijgewerkt (build xenial) zodat het "WEBSERVICE" probleem is opgelost.
in LM 17+ is LibreOffice 5.1.6.2 vreemd genoeg niet bijgewerkt (build trusty) en is het probleem nog steeds aanwezig.
Daarom adviseer ik altijd mijn kennissen / vrienden om de meest recente LTS versie te gebruiken.

Terug naar “Software en applicaties”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 7 gasten