Als ich gestern die Ankündigung zur Veröffentlichung von Apache OpenOffice 4.1.10 sah, fragte ich mich, ob das genügend Relevanz für eine News besitzt. Da ich hier auch über Veröffentlichungen von LibreOffice berichte, entschied ich mich im Sinne der Gleichbehandlung und weil es auch um eine Sicherheitslücke geht, dafür.
Die OpenOffice-Entwickler haben über die letzten Monate immer wieder Bugfix-Releases für OO 4.1 herausgegeben. Gerade wurde v4.1.10 veröffentlicht und ist als Security-Release gekennzeichnet. Die Anwender sind dringend aufgefordert, auf die neue Version zu aktualisieren.
Sicherheitslücke geschlossen
Bei der gestopften Sicherheitslücke geht es um eine nicht legitimierte Ausführung von Code, die als CVE 2021-30245 katalogisiert ist. Die Lücke existierte seit 2006 und betrifft alle Versionen seither. Die Anwendungen der OpenOffice-Suite behandeln nicht-http(s)-Hyperlinks auf unsichere Weise, was die Ausführung von 1-Klick-Code auf Linux- macOS- und Windows-Systemen über bösartige ausführbare Dateien ermöglicht. Es existiert zwar eine Proof-of-Concept-Demonstration, öffentliche Exploits sind bisher jedoch nicht bekannt. Künftig erhält der Anwender eine Warnung und entscheidet dann selbst über das weitere Vorgehen.
Darüber hinaus wurde das inkonsistente Verhalten von MP3-Dateien im Präsentationsmodul behoben und die Wörterbücher für Dänisch und Englisch (en-GB, en-ZA) aktualisiert. Apache OpenOffice 4.1.10 steht im Downloadportal der Organisation für Linux, macOS und Windows bereit.
Facebook hat seinen Standpunkt überdacht und relizenziert die Open-Source-Projekte React, Jest, Flow und Immutable.js. Diese waren bisher mit einer BSD-Lizenz mit angehängter Patentklausel lizenziert. Vorausgegangen war eine Auseinandersetzung zwischen Facebook und Teilen der Community über die Patentklausel. Auslöser war im Juli die Entscheidung der Apache-Software-Foundation (ASF), Programmcode, der der Facebook BSD+Patents-Lizenz unterliegt, zu bannen. Das hatte Chris Mattmann, Direktor für Rechtsbelange bei der Apache Foundation , erklärt. Bis zum 31. August sollten alle Projekte, die Anwendungen unter dieser Facebook-Lizenz benutzen, diese aus den Projekten entfernt haben. Die Lizenz wurde daraufhin in die Apache-eigene Kategorie Cat-X verbannt, die Lizenzen auflistet, die nicht in Apache-Projekten verwendet werden dürfen.
Die Apache Foundation hat ein Problem
Das Problem, das Mattman mit der Facebook BSD+Patents-Lizenz hat, liegt in der Patentklausel begründet, die Facebook zur BSD-Lizenz hinzugefügt hat. Die Klausel besagt laut Mattman, dass Lizenznehmer, die Facebook verklagen, sofort das Recht auf die Nutzung der Lizenz verlieren. Gleiches geschieht, wenn ein Nutzer einen anderen Nutzer der Lizenz verklagt.
Facebook hatte bereits Ende letzten Jahres dieser Auslegung widersprochen. Viele Projekte, die das derzeit sehr beliebte React.js einsetzen, haben ebenfalls kein Problem mit der Lizenz. Entwickler, die ein Problem in der Patentklausel sehen, hatten sich an Facebook gewandt, mit der Bitte, die Lizenz abzuändern.
Lizenz-Klausel gegen Patent-Trolle
Im August erläuterte dann Facebooks technischer Direktor Adam Wolff in einer Stellungnahme, warum das Unternehmen an der BSD+Patents-Lizenz festhält. In Diskussionen sei klar geworden, so Wolff, dass Facebook und die ASF unterschiedliche Gesichtspunkte bei Pflege und Vertrieb von Open-Source-Software pflegen. In den Gesprächen war es zu keiner einvernehmlichen Lösung mit der ASF gekommen. Das Unternehmen verfolge mit seiner Lizenz einen Mittelweg, so Wolff, um zwar weiterhin an der Open-Source-Gemeinschaft teilhaben zu können, gleichzeitig aber die Unternehmensinteressen zu wahren und Patent-Trollen den Wind aus den Segeln zu nehmen.
Jetzt unter MIT-Lizenz
Jetzt hat sich Facebook offenbar entschlossen, doch nachzugeben. Wie Wollf jetzt wissen ließ, werden die Facebook-Open-Source-Projekte React, Jest, Flow und Immutable.js nächste Woche unter der MIT-Lizenz relizensiert. Sie erlaubt die Wiederverwendung der unter ihr stehenden Software sowohl für Software, deren Quelltext frei einsehbar ist (Open Source), als auch für Software, deren Quelltext nicht frei einsehbar ist (Closed Source). Nachdem die Community mehrere Wochen verunsichert und enttäuscht gewesen sei, habe man sich entschieden, besonders wegen des viel verwendeten React.js die Entwicklung nicht aus nicht-technischen Gründen blockieren zu wollen, so Wolff. Weitere von Facebooks Open-Source-Projekten verbleiben vorerst weiter unter der BSD+Patents-Lizenz . Auch hier werde geprüft ob es andere Möglichkeiten gibt, aber jedes Projekt sei anders und bedürfe der genauen Überprüfung.
