External URLs [Update]

burks

Fefe schreibt etwas über BigBlueButton, mit dem ich auch arbeite. “Wer da Präsentationen hochladen darf, hat Admin-Zugriff.”

Hanno Böck erklärt das näher: “BigBlueButton has a feature that lets a presenter upload a presentation in a wide variety of file formats that gets then displayed in the web application. This looked like a huge attack surface. The conversion for many file formats is done with Libreoffice on the server. Looking for ways to exploit server-side Libreoffice rendering I found a blog post by Bret Buerhaus that discussed a number of ways of exploiting such setups. One of the methods described there is a feature in Opendocument Text (ODT) files that allows embedding a file from an external URL in a text section. This can be a web URL like https or a file url and include a local file.”

Ich halte das in der Praxis nicht für dramatisch. Das schreibt Fefe auch: “Aber in diesem Fall musste gar kein Exploit her, denn die Dateiformate haben (völlig ohne Not, möchte ich anmerken!) ein Feature, über das man externe Ressourcen über eine URL einbinden kann”. Ein Dozent, der anderen erlaubt, Dateien zu nutzen und hochzuladen, die bekannte Risiken haben, ist selbst schuld, wenn ihm die Sache um die Ohren fliegt.

[Update] Der beste aller Provider teilte mir mit, dass das Leck inzwischen abgedichtet sei.

image_pdfimage_print

Kommentare

8 Kommentare zu “External URLs [Update]”

  1. Wolf-Dieter Busch am Oktober 22nd, 2020 4:12 am

    Ein Dozent, der anderer erlaubt, Dateien zu nutzen und hochzuladen, die bekannte Risiken haben, ist selbst schuld, wenn ihm die Sache um die Ohren fliegt.

    Nach meinem Verständnis nicht Kern der Sache. Fefe orientiert sich berufsbedingt am worst case, und ich halte es für richtig, wenn du das auch tust.

    Darf ich mal grad schwarz malen? Danke. Also. Ein Eleve von dir erbt ein Dokument und schickt es in aller Unschuld hoch.

    (Danke für die Aufmerksamkeit.)

  2. admin am Oktober 22nd, 2020 9:20 am

    Der Dozent muss definitiv erlauben, dass jemand etwas hochlädt. Per default darf das niemand.

  3. Siewurdengelesen am Oktober 22nd, 2020 2:33 pm

    Das Interessantere an diesem “Bug” ist, dass er seit Mai bekannt und nichts passiert ist.

  4. Wolf-Dieter Busch am Oktober 23rd, 2020 8:43 am

    @admin – ok. Wenn die Erlaubnis zum Hochladen differenziert zu verteilen ist – plain text ja, alles andere nein – dann Entwarnung.

  5. admin am Oktober 23rd, 2020 9:27 am

    Das Problem ist, dass die meisten Leute nicht wissen, was plain text bedeutet. Die kommen dann mit Word an…

  6. Wolf-Dieter Busch am Oktober 23rd, 2020 1:08 pm

    Word kann Plaintext speichern, soviel ich weiß (bin aus der Welt von Windows raus). Dann wären alle fein raus.

  7. admin am Oktober 23rd, 2020 8:35 pm

    Ja, aber kaum jemand hat das schon gemacht. Es gibt auch einen einfachen Texteditor unter Windows, versteckt sich unter “Zubehör”. Aber mache mal bei den Windowsern einen Test, wer den kennt.

  8. bentux am Oktober 24th, 2020 9:11 am

    Also notepad als Texteditor zu bezeichnen ist wirklich etwas hart. Kann nix das Teil. Edit ist da eher geeignet. Da edit eine 32 Bit Applikation ist, gibt es den in aktuellen Versionen wohl nicht mehr.

Schreibe einen Kommentar