Lek in Apache OpenOffice nog niet gedicht

Abonneer je gratis op Techzine!

CVE-2021-33035 nog steeds niet opgelost in Apache OpenOffice, kon niet worden gedetecteerd door GitHub’s LGTM. De patch is momenteel alleen beschikbaar als beta.

Ondanks dat een achterdeur al in mei aan het Apache OpenOffice Project Management Committee werd meegedeeld, staat de toegang tot Apache OpenOffice nog wagenwijd open, zelfs nadat het probleem eind augustus openbaar werd gemaakt op HackerOne’s Hacktivity. De achterdeur werd gevonden door een veiligheidsonderzoeker in Singapore.

Het probleem, CVE-2021-33035, zit in de source code en is “een bufferoverloop door een .dbf-bestand dat een retouraanwijzer overschrijft met een DEP en ASLR om uiteindelijk willekeurige opdrachten van de aanvaller uit te voeren,” vat de ontdekker, Eugene Lim, samen.

Automatisering juist niet ‘to the rescue’

Lim vroeg zich ook af waarom deze achterdeur via C++ niet was opgemerkt. Hij ontdekte dat GitHub’s LGTM, de geautomatiseerde beveiligingsscan voor opensource projecten, Apache OpenOffice heeft getagd voor Python en JavaScript, maar niet voor C++. “Dit toont het belang aan van het controleren van geautomatiseerde statische analysetools,” reageerde hij. “Als je tools niet weten dat de code bestaat, kunnen ze die kwetsbaarheden ook niet vinden.”

Een ander probleem lijkt bij het Project Management Committee van Apache OpenOffice zelf te liggen. De achterdeur zat namelijk ook in Scalabium dBase Viewer (CVE-2021–35297). Daar werd deze wel snel gedicht. Wellicht dat dit te maken heeft met het feit dat dat project door slechts één enkele ontwikkelaar werd uitgevoerd. Het managementteam van Apache OpenOffice daarentegen is al sinds mei ‘in overleg’ met Lim, en hoopt dat de fix in de loop van deze maand in de officiële release wordt verwerkt.