image

Lek in LibreOffice en OpenOffice maakt manipulatie gesigneerd document mogelijk

dinsdag 12 oktober 2021, 11:59 door Redactie, 12 reacties

Verschillende kwetsbaarheden in LibreOffice en OpenOffice maken het mogelijk om gesigneerde documenten en macro's te manipuleren waardoor het lijkt alsof ze van een betrouwbare bron afkomstig zijn. Er zijn beveiligingsupdates uitgerold om gebruikers te beschermen. Het gaat in totaal om drie kwetsbaarheden in Apache OpenOffice (CVE-2021-41830, CVE-2021-41831 en CVE-2021-41832) en LibreOffice (daar aangeduid als CVE-2021-25633, CVE-2021-25634 en CVE-2021-25635).

LibreOffice en OpenOffice ondersteunen het signeren van documenten en macro's, zodat de ontvangende partij weet van wie die afkomstig zijn en dat ze niet zijn aangepast. Een aanvaller kan in het geval van CVE-2021-25635 zelf een document signeren met een digitale handtekening die het doelwit niet vertrouwt. Vervolgens kan het algoritme voor de digitale handtekening worden veranderd naar een ongeldig of onbekend algoritme en geven LibreOffice en OpenOffice ten onrechte aan dat de digitale handtekening geldig en van een vertrouwd persoon afkomstig is.

Door middel van CVE-2021-25633 kan een aanvaller data van meerdere certificaten combineren, waardoor LibreOffice en OpenOffice via een indicator aangeven dat het om een geldig gesigneerd document gaat. De inhoud van het document staat echter los van de weergegeven digitale handtekening. Via CVE-2021-25634 is het daarnaast mogelijk om de timestamp van gesigneerde documenten aan te passen.

Alle versies van Apache OpenOffice tot en met versie 4.1.10 zijn kwetsbaar. Gebruikers wordt aangeraden om te updaten naar versie 4.1.11. In het geval van LibreOffice krijgen gebruikers het advies om te updaten naar versie LibreOffice 7.0.6/7.1.2.

Reacties (12)
12-10-2021, 12:57 door Anoniem
Dan wordt het nu toch wel hoog tijd dat:

Versie: 6.0.7.3
Build ID: 1:6.0.7-0ubuntu0.18.04.10

Wordt geupdate.

Sinds ik mijn huidige Linux installatie in gebruik heb, dat is vanaf juni 2019, is er nog nooit een update voor LibreOffice gemeld in bijwerkbeheer.
Nu schijnt het zo te zijn dat er voor een bepaalde distributie - in mijn geval is dat Mint 19.x - wordt vastgehouden aan één versie van LibreOffice. (Met nadruk: GRAAG EEN CORRECTIE INDIEN DAT NIET ZO IS. DANK!)

Die routine moet mijns inziens nu toch écht worden losgelaten.
12-10-2021, 13:00 door Anoniem
Onder windows, Apple of Linux? of alle drie?
Ik wist trouwens niet dat openoffice nog werd gebruikt. Iedereen gebruikt toch libreoffice?
12-10-2021, 14:55 door [Account Verwijderd] - Bijgewerkt: 12-10-2021, 14:56
Door Anoniem: Dan wordt het nu toch wel hoog tijd dat:

Versie: 6.0.7.3
Build ID: 1:6.0.7-0ubuntu0.18.04.10

Wordt geupdate.

Sinds ik mijn huidige Linux installatie in gebruik heb, dat is vanaf juni 2019, is er nog nooit een update voor LibreOffice gemeld in bijwerkbeheer.
Nu schijnt het zo te zijn dat er voor een bepaalde distributie - in mijn geval is dat Mint 19.x - wordt vastgehouden aan één versie van LibreOffice. (Met nadruk: GRAAG EEN CORRECTIE INDIEN DAT NIET ZO IS. DANK!)

Dat klopt en je mag hopen dat er nu snel een securityupdate komt voor de versie in jouw distributie (dat dit bij eerdere problemen in het nieuws niet is gebeurd is waarschijnlijk omdat die - eerdere - problemen niet van toepassing waren voor de versie in jouw distributie).

Door Anoniem: Die routine moet mijns inziens nu toch écht worden losgelaten.

Juist niet want door die 'routine' heb je er als gebruiker geen omkijken naar. De Linux distributie regelt het voor je (met een security update met een subversieaanduiding). Je blijft daardoor werken met een geteste, robuuste combinatie van pakketten. Als je je meer op de bleeding edge wilt begeven dan kan je evt. voor een rolling release distributie kiezen.
12-10-2021, 15:06 door Anoniem
Door Anoniem:
Sinds ik mijn huidige Linux installatie in gebruik heb, dat is vanaf juni 2019, is er nog nooit een update voor LibreOffice gemeld in bijwerkbeheer.
Nu schijnt het zo te zijn dat er voor een bepaalde distributie - in mijn geval is dat Mint 19.x - wordt vastgehouden aan één versie van LibreOffice. (Met nadruk: GRAAG EEN CORRECTIE INDIEN DAT NIET ZO IS. DANK!)

Die routine moet mijns inziens nu toch écht worden losgelaten.

De verouderde packages heb je omdat je met LinuxMint op de "oude" Ubuntu/LTS base zit (in jouw gevalt het "stokoude" Ubuntu 18.04), het bied een zekere stabiliteit met de keerzijde dat software versies eerder achter zullen lopen waarbij je voornamelijk security patches ontvangt.

Zo mag je in LinuxMint 20 een versie 1:6.4.7-0ubuntu0.20.04.1 verwachten. (gebaseerd op de Ubuntu 20.04 LTS),
De huidige Ubuntu 21.4 zal vast met de versie 1:7.1.2~rc2-0ubuntu2 komen.
Als je LinuxMint 20 Debain edition draait zul je vermoedelijk uit komen op versie 1:7.0.4-4 omdat je daar op een (recentere) debian package base zit.
https://www.debian.org/distrib/packages
https://packages.ubuntu.com/

Als een dergelijke tendens je dwars zit kun je kiezen voor een distributie met een rolling release, zoals Arch Linux, OpenSUSE, Manjaro etc..
Maar verder ben je natuurlijk vrij om de meest recente .deb package vanaf libreoffice.org te harken, desnoods installeer je de Flatpak.
12-10-2021, 16:34 door nicolaasjan
Door Anoniem; 12:57 : Dan wordt het nu toch wel hoog tijd dat:

Versie: 6.0.7.3
Build ID: 1:6.0.7-0ubuntu0.18.04.10

Wordt geupdate.

Sinds ik mijn huidige Linux installatie in gebruik heb, dat is vanaf juni 2019, is er nog nooit een update voor LibreOffice gemeld in bijwerkbeheer.
Nu schijnt het zo te zijn dat er voor een bepaalde distributie - in mijn geval is dat Mint 19.x - wordt vastgehouden aan één versie van LibreOffice. (Met nadruk: GRAAG EEN CORRECTIE INDIEN DAT NIET ZO IS. DANK!)

Die routine moet mijns inziens nu toch écht worden losgelaten.
Ik draai ook Linux Mint 19.3 en ik heb de LibreOffice ppa toegevoegd, welke algemeen wordt aangeraden.
(wees echter wel altijd voorzichtig met het toevoegen van ppa's)
Die staat nu op 7.1.2
https://launchpad.net/~libreoffice/+archive/ubuntu/ppa

sudo add-apt-repository ppa:libreoffice/ppa
sudo apt-get update
12-10-2021, 18:32 door Anoniem
Door Toje Fos:
Door Anoniem: Dan wordt het nu toch wel hoog tijd dat:

Versie: 6.0.7.3
Build ID: 1:6.0.7-0ubuntu0.18.04.10

Wordt geupdate.

Sinds ik mijn huidige Linux installatie in gebruik heb, dat is vanaf juni 2019, is er nog nooit een update voor LibreOffice gemeld in bijwerkbeheer.
Nu schijnt het zo te zijn dat er voor een bepaalde distributie - in mijn geval is dat Mint 19.x - wordt vastgehouden aan één versie van LibreOffice. (Met nadruk: GRAAG EEN CORRECTIE INDIEN DAT NIET ZO IS. DANK!)

Dat klopt en je mag hopen dat er nu snel een securityupdate komt voor de versie in jouw distributie (dat dit bij eerdere problemen in het nieuws niet is gebeurd is waarschijnlijk omdat die - eerdere - problemen niet van toepassing waren voor de versie in jouw distributie).

Door Anoniem: Die routine moet mijns inziens nu toch écht worden losgelaten.

Juist niet want door die 'routine' heb je er als gebruiker geen omkijken naar. De Linux distributie regelt het voor je (met een security update met een subversieaanduiding). Je blijft daardoor werken met een geteste, robuuste combinatie van pakketten. Als je je meer op de bleeding edge wilt begeven dan kan je evt. voor een rolling release distributie kiezen.
Of zelf het pakket downloaden (https://nl.libreoffice.org/download/libreoffice-fris/) en installeren. DE windows way zeg maar.
12-10-2021, 19:14 door [Account Verwijderd] - Bijgewerkt: 12-10-2021, 19:14
welke [sic] algemeen wordt aangeraden

DIE!

https://onzetaal.nl/taaladvies/welke-die

(maar wel goed advies)
12-10-2021, 20:00 door nicolaasjan - Bijgewerkt: 12-10-2021, 20:29
Door Toje Fos:
welke [sic] algemeen wordt aangeraden

DIE!

https://onzetaal.nl/taaladvies/welke-die

(maar wel goed advies)
Sorry,
Ik word een dagje ouder en het was een lange dag (om 4:00 uur opgestaan...).

Over het algemeen maak ik niet snel zulke fouten.
12-10-2021, 21:45 door Anoniem
Door Anoniem:
Door Anoniem:
Sinds ik mijn huidige Linux installatie in gebruik heb, dat is vanaf juni 2019, is er nog nooit een update voor LibreOffice gemeld in bijwerkbeheer.
Nu schijnt het zo te zijn dat er voor een bepaalde distributie - in mijn geval is dat Mint 19.x - wordt vastgehouden aan één versie van LibreOffice. (Met nadruk: GRAAG EEN CORRECTIE INDIEN DAT NIET ZO IS. DANK!)

Die routine moet mijns inziens nu toch écht worden losgelaten.

De verouderde packages heb je omdat je met LinuxMint op de "oude" Ubuntu/LTS base zit (in jouw gevalt het "stokoude" Ubuntu 18.04), het bied een zekere stabiliteit met de keerzijde dat software versies eerder achter zullen lopen waarbij je voornamelijk security patches ontvangt.

Zo mag je in LinuxMint 20 een versie 1:6.4.7-0ubuntu0.20.04.1 verwachten. (gebaseerd op de Ubuntu 20.04 LTS),
De huidige Ubuntu 21.4 zal vast met de versie 1:7.1.2~rc2-0ubuntu2 komen.
Als je LinuxMint 20 Debain edition draait zul je vermoedelijk uit komen op versie 1:7.0.4-4 omdat je daar op een (recentere) debian package base zit.
https://www.debian.org/distrib/packages
https://packages.ubuntu.com/

Als een dergelijke tendens je dwars zit kun je kiezen voor een distributie met een rolling release, zoals Arch Linux, OpenSUSE, Manjaro etc..
Maar verder ben je natuurlijk vrij om de meest recente .deb package vanaf libreoffice.org te harken, desnoods installeer je de Flatpak.
Voor ubuntu wordt het dan eerder snap https://www.ubuntupit.com/snap-vs-flatpak-vs-appimage-know-the-difference/
13-10-2021, 09:18 door Anoniem
Door Toje Fos:
Door Anoniem: Dan wordt het nu toch wel hoog tijd dat:

Versie: 6.0.7.3
Build ID: 1:6.0.7-0ubuntu0.18.04.10

Wordt geupdate.

Sinds ik mijn huidige Linux installatie in gebruik heb, dat is vanaf juni 2019, is er nog nooit een update voor LibreOffice gemeld in bijwerkbeheer.
Nu schijnt het zo te zijn dat er voor een bepaalde distributie - in mijn geval is dat Mint 19.x - wordt vastgehouden aan één versie van LibreOffice. (Met nadruk: GRAAG EEN CORRECTIE INDIEN DAT NIET ZO IS. DANK!)

Dat klopt en je mag hopen dat er nu snel een securityupdate komt voor de versie in jouw distributie (dat dit bij eerdere problemen in het nieuws niet is gebeurd is waarschijnlijk omdat die - eerdere - problemen niet van toepassing waren voor de versie in jouw distributie).

Door Anoniem: Die routine moet mijns inziens nu toch écht worden losgelaten.

Juist niet want door die 'routine' heb je er als gebruiker geen omkijken naar. De Linux distributie regelt het voor je (met een security update met een subversieaanduiding). Je blijft daardoor werken met een geteste, robuuste combinatie van pakketten. Als je je meer op de bleeding edge wilt begeven dan kan je evt. voor een rolling release distributie kiezen.

wellicht kun je zelf de snap / flatpack versie gaan gebruiken?
13-10-2021, 17:21 door Anoniem
Door Anoniem: Sinds ik mijn huidige Linux installatie in gebruik heb, dat is vanaf juni 2019, is er nog nooit een update voor LibreOffice gemeld in bijwerkbeheer.
Als ik op de homepage van Debian kijk dan zie ik direct een verwijzing naar een beschrijving van hoe ze met security omgaan. Als ik op de homepage van Ubuntu kijk zie ik direct een verwijzing naar een beschrijving van hoe ze met security omgaan. Als ik op de homepage van Mint kijk zie ik... niets daarover. Rondneuzend in het menu van hun website... nog steeds niets daarover.

Het kan best zijn dat het gewoon goed zit bij Mint, maar duidelijk zijn ze daar zo te zien niet over. Dat je er vragen over stelt geeft aan dat het jou ook niet duidelijk is.

Voor mij persoonlijk is duidelijkheid over dat soort belangrijke zaken een selectiecriterium dat belangrijker is dan maximaal gemak of gelikte vormgeving.

Nu schijnt het zo te zijn dat er voor een bepaalde distributie - in mijn geval is dat Mint 19.x - wordt vastgehouden aan één versie van LibreOffice. (Met nadruk: GRAAG EEN CORRECTIE INDIEN DAT NIET ZO IS. DANK!)

Die routine moet mijns inziens nu toch écht worden losgelaten.
Mijn ervaring is met Debian. Daar geldt voor een "stable" release dat versies van software inderdaad constant worden gehouden tot de volgende major release van "stable", iets waar bij bij Debian vaak genoeg zo'n twee jaar overheen gaat. Dat doet men omdat zo gegarandeerd wordt dat de functionaliteit van de pakketten stabiel is, je kan niet van dag tot dag verrast worden door dingen die opeens heel anders werken. Wat men wél doet is security fixes die in nieuwere versies van software worden aangebracht overnemen in de versies die ze in stable voeren, indien de kwetsbaarheden daar in zitten. Je hebt dus een bevroren feature set met wel de actuele beveigingsupdates.

Als dat de routine is waar je aan refereert dan moet die vooral niet worden losgelaten, die routine, met de bijbehorende stabiliteit en betrouwbaarheid, is nu al ruim twintig jaar voor mij de primaire reden om Debian te gebruiken.

Maar je moet wel weten hoe de distributie die jij gebruikt eigenlijk ermee omgaat. Het gaat niet alleen om een gelikte vormgeving, het gaat niet alleen om het gemak dat alles out-of-the-box gewoon moeiteloos werkt. Het gaat er ook om dat je weet dat het degelijk en veilig is.

Ik zie informatie daarover bij Mint niet staan. Misschien laten ze het weg omdat dat gedetailleerd, ingewikkeld en voor hun doelgroep te moeilijk is en doen ze het ondertussen wel degelijk goed. Misschien doen ze het ook helemaal niet goed. Ik vind het een probleem als dat niet duidelijk uit hun website blijkt. Maar ik ben iemand die liever door een veelheid aan informatie heen ploetert die ondertussen wel goed gestructureerd en duidelijk is dan dat ik alleen schijnduidelijkheid krijg door het weglaten van informatie.
13-10-2021, 18:47 door nicolaasjan - Bijgewerkt: 13-10-2021, 18:49
Door Anoniem; 17:21:
Ik zie informatie daarover bij Mint niet staan. Misschien laten ze het weg omdat dat gedetailleerd, ingewikkeld en voor hun doelgroep te moeilijk is en doen ze het ondertussen wel degelijk goed. Misschien doen ze het ook helemaal niet goed. Ik vind het een probleem als dat niet duidelijk uit hun website blijkt. Maar ik ben iemand die liever door een veelheid aan informatie heen ploetert die ondertussen wel goed gestructureerd en duidelijk is dan dat ik alleen schijnduidelijkheid krijg door het weglaten van informatie.
Mint is een afgeleide van Ubuntu en haalt daarom het merendeel van zijn software rechtstreeks uit de repositories van Ubuntu (zelfde servers) .
Uitzondering zijn de Mint specifieke pakketten, maar daar valt LibreOffice niet onder.

Als er met een oudere versie van een pakket security issues zijn, worden die gebackport.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.