Sicherheitslücke in OpenOffice muß manuell gefixt werden

Für alle unter Euch die OpenOffice einsetzen und die Updates nicht per Distro bekommen: Ihr müßt jetzt aktiv werden!

OpenOffice hat eine „schwere“ Sicherheitslücke : CVE-2016-1513 Ein manipuliertes Officefile zu öffnen reicht schon aus.

Zunächst mal müßt Ihr auf OO 4.1.2 updaten, sofern Ihr das noch nicht gemacht habt. Dazu müssen die Pakete erstmal geladen werden. Hier die Downloadlinks für Fedora/RedHat :

Download

http://netcologne.dl.sourceforge.net/project/openofficeorg.mirror/4.1.2/binaries/de/Apache_OpenOffice_4.1.2_Linux_x86-64_install-rpm_de.tar.gz

Dann braucht Ihr noch den Patch für den HotFix :

https://archive.apache.org/dist/openoffice/4.1.2-patch1/binaries/Linux64/apache-openoffice-4.1.2-patch1-apply-Linux64.zip

Update Openoffice

  1. Das Archiv auspacken und dann in das RPMS Verzeichnis wechseln
  2. mit „su“ Root werden
  3. rpm -U *rpm

Install Patch

  1. Den Patch auspacken. Ihr findet eine Datei namens libtl.so
  2. mv {PFAD zum ausgepackten Archiv}/libtl.so /opt/openoffice4/program/
  3. Die Frage nach de Überschreiben bejahen.

Fazit

Ja, es ist ein HotFix. HotFixe sind dämlich einzuspielen, aber der ganze Updatemechanismus von OpenOffice ist nicht mehr zeitgemäß. Es gibt jetzt zwei Möglichkeiten, ich stelle allen ein Repository zur Verfügung, aber dann gehen Hotfixe unter, oder wir wechseln zu LibreOffice, weil das im Repo von Fedora gepflegt wird.

Pikant an der Lücke ist, das sie seit dem 21.Juli bekannt ist und erst jetzt ein Fix verfügabr ist. Kein Gutes Zeichen für OpenOffice.