[de-dev] Re: LibreOffice anfällig für trojanische Word-Dateien
Jens Ruckelshäuser schrieb: Hallo Günter, Am 05.10.2011 21:26, schrieb Günter Feierabend: Hallo, folgende Meldung wurde heute (05.10.11) auf heise.de veröffentlicht: http://www.heise.de/newsticker/meldung/LibreOffice-anfaellig-fuer-trojanische-Word-Dateien-1354893.html Es gab unter obigem Link ein Update, dort ist jetzt zu lesen: *Update:* Auch OpenOffice kann durch speziell präparierte Word-Dateien mit Schadcode infiziert werden. Debian hat die Lücke bereits in seiner Linux-Distribution geschlossen http://www.debian.org/security/2011/dsa-2315; es ist zu erwarten, dass die Anbieter der anderen wichtigen Distributionen nachziehen. Wann der Fehler in der Windows-Build von OpenOffice behoben wird, ist derzeit unklar. Aus Sicherheitsgründen sollten Nutzer von OpenOffice unter Windows daher auf die aktuelle Version von LibreOffice umsteigen. Ich denke, man sollte einmal grundsätzlich auf folgendes hinweisen: Es ist gut, dass der konkrete Bug entdeckt und dann zeitnah gefixt worden ist. OpenOffice.org wird da sicherlich baldmöglichst nachziehen. Aber: Man sollte sich nicht in falscher Sicherheit wiegen: Dateien in einem Format, wie .doc es nun einmal ist, aus nicht vertrauenswürdiger Quelle sollten _immer_ in einer abgesicherten Umgebung geöffnet werden, wenn man sie öffnen muss oder will. Es gibt keine Garantie dafür, dass auch noch nach dem Fix nicht andere vergleichbare Exploits möglich sind. Insoweit gibt es ein ähnliches Risiko bei Makros aus dubioser Quelle. Gruß Michael -- - To unsubscribe send email to dev-unsubscr...@de.openoffice.org For additional commands send email to sy...@de.openoffice.org with Subject: help
[de-dev] Re: LibreOffice anfällig für trojanische Word-Dateien
On Fri, Oct 07, 2011 at 05:54:09AM +0200, Jörg Schmidt wrote: Ich denke das sollte für niemanden der Maßstab sein, denn der Beste bestimmt die Spitze und nicht die Leistungen von gestern. Falsch. Sowas nennt man coodinated disclosure. Das ist korrektes Vorgehen. Vielleicht nicht 5 Wochen, aber das vorgehen ist korrekt. Wird in der ganzen OSS-Welt so gehandhabt, es sei denn etwas landet in der frteien Wildbahn bevor so was passiert. (Ausnahmen bestätigen die Regel.) Mein Tipp an Dich wäre im Übrigen hier auf das Posten zu verzichten wenn Du erkennbar ohnehin nur bashen willst. (Sollte jemand der OOo-Anhänger Ähnliches auf Unterstellung. Muss ich nicht drauf antworten. Ausserdem wird *uns* von AOOo-Seite unterstellt wir hätten denen die Infos dazu nicht geliefert und sie mit der PM überrascht. Im Gegentail - das ging alles über securityt...@openoffice.org wo auch AOOo Leute drauf waren zu dem Zeitpunkt (hinzugefügt 1 Woche bevor die Meldung kam). Und sie kam *Ende Juli*. Ich erachte es als unanständig, und unlogisch, sich hier gegen ein ehrenamtliches Projekt zu richten welches nicht für das Tun Dritter (z.B. Oracle) verantwortlich Wer im Glashaus sitzt... Grüße/Regards, René -- - To unsubscribe send email to dev-unsubscr...@de.openoffice.org For additional commands send email to sy...@de.openoffice.org with Subject: help
[de-dev] Re: LibreOffice anfällig für trojanische Word-Dateien
Hallo, Rene Engelhard schrieb: Falsch. Sowas nennt man coodinated disclosure. Blödsinn. Lies doch mal was ich schreibe. Du schriebst das früher OOo öähnlich reagiert hat und ich habe das als ungenügend gekennzeichnet, nicht wegen des Verfahrens sondern wegen der Zeitdauer. Für mich gibt es keinen Grund 5 Wochen (oder überhaupt irgendeine Zeit) warten zu müssen außer es fehlt an Kapazitäten um schneller zu sein, das ist dann aber nicht gewollt sondern durch die Umstände erzwungen. Mein Tipp an Dich wäre im Übrigen hier auf das Posten zu verzichten wenn Du erkennbar ohnehin nur bashen willst. (Sollte jemand der OOo-Anhänger Ähnliches auf Unterstellung. Muss ich nicht drauf antworten. Doch, wenn es eine Unterstellung ist wäre es z.B. hilfreich diese zurückzuweisen - Dein Verhalten spricht ansonsten für sich. Ausserdem wird *uns* von AOOo-Seite Tja, was soll ich dazu sagen, da ich mich weder zur AOOo- noch zur LO-Seite rechne und hier niemandes Position vertrete außer die Meine. Falls es heutzutage nötig ist sich zwangsweise eine Seite zu wählen kann ich damit nicht dienen denn ich persönlich erachte es als absurd mich gegen Personen zu wenden mit dem ich gestern noch zusammengearbeitet habe nur weil die jetzt in einem anderen Projekt wären - so einfach ist das, und die Jacke irgendjemandes Kostgänger, egal on OOo oder LO, zu sein ziehe ich mir nicht an und lasse ich mir auch micht aufzwingen. unterstellt wir hätten denen die Infos dazu nicht geliefert und sie mit der PM überrascht. Darüber weiß ich nicht einmal was das solche Anschuldigung besteht. Ich erachte es als unanständig, und unlogisch, sich hier gegen ein ehrenamtliches Projekt zu richten welches nicht für das Tun Dritter (z.B. Oracle) verantwortlich Wer im Glashaus sitzt... Das kannst Du jetzt wirklich nicht ernst meinen, ich hatte doch wohl hinreichend deutlich gemacht worum es _mir_ ging, vom möglichen Nicht-Informationsanschuldigungen bzgl. des jetzigen patches weiß ich schlichtweg nichts und darauf bezog ich mich auch nicht Gruß Jörg -- - To unsubscribe send email to dev-unsubscr...@de.openoffice.org For additional commands send email to sy...@de.openoffice.org with Subject: help
[de-dev] Re: LibreOffice anfällig für trojanische Word-Dateien
Am 06.10.11 20:25, schrieb Jens Ruckelshäuser: Hallo Günter, Am 05.10.2011 21:26, schrieb Günter Feierabend: Hallo, folgende Meldung wurde heute (05.10.11) auf heise.de veröffentlicht: http://www.heise.de/newsticker/meldung/LibreOffice-anfaellig-fuer-trojanische-Word-Dateien-1354893.html Es gab unter obigem Link ein Update, dort ist jetzt zu lesen: *Update:* Auch OpenOffice kann durch speziell präparierte Word-Dateien mit Schadcode infiziert werden. Debian hat die Lücke bereits in seiner Linux-Distribution geschlossen http://www.debian.org/security/2011/dsa-2315; es ist zu erwarten, dass die Anbieter der anderen wichtigen Distributionen nachziehen. Wann der Fehler in der Windows-Build von OpenOffice behoben wird, ist derzeit unklar. Aus Sicherheitsgründen sollten Nutzer von OpenOffice unter Windows daher auf die aktuelle Version von LibreOffice umsteigen. Umzusteigen braucht man deswegen bestimmt nicht sofort. LibO hat sich schliesslich auch 5 Wochen Zeit gelassen, bis sie den Patch angekündigt haben. ;-) Zumindest ich werde versuchen einen Patch für Mac zu machen. Noch fehlen mir allerdings die Informationen. Ich bin aber dran. Irgend was ähnliches wird es dann wohl auch für Windows geben. Informationen zu meinem Patch gibt es dann auf http://www.raphaelbircher.ch/computer_tagebuch.php Gruss Raphael -- My private Homepage: http://www.raphaelbircher.ch/ -- - To unsubscribe send email to dev-unsubscr...@de.openoffice.org For additional commands send email to sy...@de.openoffice.org with Subject: help
[de-dev] Re: LibreOffice anfällig für trojanische Word-Dateien
Hi, On Fri, Oct 07, 2011 at 01:00:38AM +0200, Raphael Bircher wrote: Umzusteigen braucht man deswegen bestimmt nicht sofort. LibO hat sich schliesslich auch 5 Wochen Zeit gelassen, bis sie den Patch angekündigt haben. ;-) Falsch. Der patch war da schon 5 Wochen da, in Form von 3.4.3. OpenOffice.org hat das zu seiner Zeit auch nicht anders gemacht. Vielleicht nicht 5 Wochen aber einige Tage *nach* dem release, der das ganze gefixt hat. Nix neues hier, bitte weitergehen. Grüße/Regards, René -- - To unsubscribe send email to dev-unsubscr...@de.openoffice.org For additional commands send email to sy...@de.openoffice.org with Subject: help
[de-dev] Re: LibreOffice anfällig für trojanische Word-Dateien
Am 07.10.11 01:06, schrieb Rene Engelhard: Hi, On Fri, Oct 07, 2011 at 01:00:38AM +0200, Raphael Bircher wrote: Umzusteigen braucht man deswegen bestimmt nicht sofort. LibO hat sich schliesslich auch 5 Wochen Zeit gelassen, bis sie den Patch angekündigt haben. ;-) Falsch. Der patch war da schon 5 Wochen da, in Form von 3.4.3. Wo siehst du da fas falsches? Ich habe ausdrücklich Angekündigt geschrieben. OpenOffice.org hat das zu seiner Zeit auch nicht anders gemacht. Vielleicht nicht 5 Wochen aber einige Tage *nach* dem release, der das ganze gefixt hat. Nix neues hier, bitte weitergehen. Jup, bei Euch auch nicht. Weitere Diskussionen sparen wir uns, oder ;-) Gruss Raphael -- My private Homepage: http://www.raphaelbircher.ch/ -- - To unsubscribe send email to dev-unsubscr...@de.openoffice.org For additional commands send email to sy...@de.openoffice.org with Subject: help
[de-dev] Re: LibreOffice anfällig für trojanische Word-Dateien
Hallo, Raphael Bircher schrieb: Umzusteigen braucht man deswegen bestimmt nicht sofort. LibO hat sich schliesslich auch 5 Wochen Zeit gelassen, bis sie den Patch angekündigt haben. ;-) Hier gilt Ähnliches was ich Rene schrieb: der Beste setzt die Maßstäbe und so wenig wie LO eigenes Verhalten mit dem Verhalten von OOo entschuldigen sollte, sollte OOo seine Probleme damit runterreden das man auf Mängel im Vorgehen bei LO verweist. Zumindest ich werde versuchen einen Patch für Mac zu machen. Noch fehlen mir allerdings die Informationen. Ich bin aber dran. Irgend was ähnliches wird es dann wohl auch für Windows geben. Informationen zu meinem Patch gibt es dann auf http://www.raphaelbircher.ch/computer_tagebuch.php Prima, soweit es Dein persönlich Engagement betrifft. Für OOo insgesamt kann es das wohl aber kaum sein, zu sagen 'wird es dann wohl ... geben'. Umsteigen werden deshalb aktuell wohl wirklich nur Wenige, das ist aber in Praxis (bei kommerziellen Anwendern) eine Kosten-Nutzen-Abwägung, denn man muß die Kosten des Wechsels zu LO (LO ist nicht mehr voll kompatibel zu OOo, außerdem enstanden/entstehen bei großen Anwendern auch regelmäßig Kosten nur durch Versionswechsdel innerhalb OOo, weil erst Tests laufen müssen um sicherzustellen das in der konkreten Softwareumgebung keine Probleme entstehen, z.B. Nichtmehrfunktionieren bestehender Extensions) gegen den Sicherheitsgewinn abwägen - hingegen ist es kein generelles Argument nur deshalb anzunehmen hier läge ein geringes Problem vor. Was hier vorliegt ist eine Sicherheitslücke die baldigst beseitig werden muß, das OOo das als Gesamtprojekt wohl aktuell nicht so ganz schnell leisten kann zeigt leider nur das das OOo-Projekt Probleme hat. Gruß Jörg -- - To unsubscribe send email to dev-unsubscr...@de.openoffice.org For additional commands send email to sy...@de.openoffice.org with Subject: help
[de-dev] Re: LibreOffice anfällig für trojanische Word-Dateien
Hallo Rene, *, Rene Engelhard schrieb: On Fri, Oct 07, 2011 at 01:00:38AM +0200, Raphael Bircher wrote: Umzusteigen braucht man deswegen bestimmt nicht sofort. LibO hat sich schliesslich auch 5 Wochen Zeit gelassen, bis sie den Patch angekündigt haben. ;-) Falsch. Der patch war da schon 5 Wochen da, in Form von 3.4.3. Im Gegenteil, genau richtig - LO hat erst den Patch herausgeben den dann aber erst 5 Wochen später angekündigt und nichts Anderes hat Raphal geschrieben - oder was lese/interpretiere ich falsch? OpenOffice.org hat das zu seiner Zeit auch nicht anders gemacht. Ich denke das sollte für niemanden der Maßstab sein, denn der Beste bestimmt die Spitze und nicht die Leistungen von gestern. Gruß Jörg P.S. Mein Tipp an Dich wäre im Übrigen hier auf das Posten zu verzichten wenn Du erkennbar ohnehin nur bashen willst. (Sollte jemand der OOo-Anhänger Ähnliches auf LO-Listen versuchen, sage ich dem gerne genau Dasselbe.) Ich erachte es als unanständig, und unlogisch, sich hier gegen ein ehrenamtliches Projekt zu richten welches nicht für das Tun Dritter (z.B. Oracle) verantwortlich ist und Welches inzwischen mit der Apache-Foundation einen Partner gefunden hat im der OSS-Community eine guten Ruf genießt und langjährige Erfahrung hat. Letzteres sagt für mich über die Zukunft von OOo überhaupt nichts Definitives, aber Eines schreibe ich hier mal ganz klar: wer glauben könnte Einschätzungen zu OOo auf Apache übertragen zu müssen begibt sich wirklich nach 'Absurdistan'. -- - To unsubscribe send email to dev-unsubscr...@de.openoffice.org For additional commands send email to sy...@de.openoffice.org with Subject: help
[de-dev] Re: LibreOffice anfällig für trojanische Word-Dateien
Hallo Günter, *, Günter Feierabend schrieb: Hallo, folgende Meldung wurde heute (05.10.11) auf heise.de veröffentlicht: http://www.heise.de/newsticker/meldung/LibreOffice-anfaellig-fuer-trojanische-Word-Dateien-1354893.html Weiß jemand, ob OOo ebenfalls betroffen sein könnte oder kann dies jemand ausschließen? Im ersten Fall dürfte man die betroffenen Versionen ja nicht mehr zum Download anbieten. s. Debian Security: - - Debian Security Advisory dsa-2315-1secur...@debian.org http://www.debian.org/security/ Giuseppe Iuculano October 05, 2011http://www.debian.org/security/faq - - Package: openoffice.org Vulnerability : multiple vulnerabilities Problem type : remote Debian-specific: no CVE ID : CVE-2011-2713 Red Hat, Inc. security researcher Huzaifa Sidhpurwala reported multiple vulnerabilities in the binary Microsoft Word (doc) file format importer of OpenOffice.org, a full-featured office productivity suite that provides a near drop-in replacement for Microsoft(R) Office. Gruß Heinz -- Have a nice time! -- - To unsubscribe send email to dev-unsubscr...@de.openoffice.org For additional commands send email to sy...@de.openoffice.org with Subject: help
