Thread Spreadsheet-ParseExcel - Kritische Sicherheitslücke in Perl-Bibliothek
(13 answers)
Opened by bianca at 2023-12-28 17:37
Man muss nicht wissen, wie eine Lücke genutzt werden kann, um sich davor zu schützen.
Der Angriff passiert über eine speziell präparierte "Excel-Datei". Es ist gut möglich, dass man mit Excel so eine Datei gar nicht herstellen kann. Office-Dokumente aus nicht vertrauenswürdigen Quellen stellen immer ein gewisses Sicherheitsrisiko dar, das liegt allein schon an der Komplexität der Formate. Viel robuster ist es, CSV-Dateien zu verarbeiten: Excel und alle anderen Spreadsheet-Programme können im CSV-Format abspeichern. In CSV-Dateien gibt es nur ein Worksheet, keine Formeln, keine Variablen und keine Formate, sondern nur die reinen Daten. Der Nachteil ist: CSV ist "plain text" mit allen möglichen Stellschrauben (Text-Encoding, Trennzeichen etc). Wenn Du die Formate und Formeln nicht brauchst, kannst Du Dir für das aktuelle Problem dadurch behelfen, dass Du die hochgeladenen Dateien selbst in CSV-Dateien umwandelst - und zwar nicht mit Perl, sondern mit Excel oder LibreOffice. Das kann man wiederum mit Perl automatisieren, ist aber nicht mein Fachgebiet, weil ich aktuell weder mit Web, noch mit Office arbeite. Wie's mit der Wartung von Spreadsheet::ParseExcel aussieht, wird sich bald zeigen... Salvatore Bonaccorso vom Debian-Security-Team hat den Fehler per GitHub gemeldet, weil das Modul auch als Debian-Paket verfügbar ist. Es gibt auch einen Korrekturvorschlag dazu. |