DFN-CERT-2015-0614 Apache OpenOffice, OpenOffice.org, LibreOffice: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Windows]

DFN-CERT-2015-0614 Apache OpenOffice, OpenOffice.org, LibreOffice: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Debian][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apache OpenOffice <= 4.1.1 LibreOffice Betroffene Plattformen: Apple Mac OS X Debian Linux 7.8 Wheezy Debian Linux 8.0 Jessie Microsoft Windows Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu bringt ein schädliches, speziell präpariertes HWP-Dokument zu öffnen, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder möglicherweise beliebigen Programmcode auszuführen. Für Apache OpenOffice wurde angekündigt, dass die Schwachstelle in Version 4.1.2 behoben sein wird. Bis dieses verfügbar sein wird, wird ein Workaround empfohlen. Für die stabilen Distributionen Debian Wheezy (7.8) 'oldstable' und Jessie (8.0) werden bereits Backport-Sicherheitsupdates für LibreOffice zur Verfügung gestellt. Workaround: Benutzer von Apache OpenOffice sollten die verwundbare Bibliothek aus dem Programmverzeichnis ihrer OpenOffice-Installation entfernen oder zumindest umbenennen. Unter Windows handelt es sich um die Datei "hwp.dll", unter Mac OS X heißt die Datei "libhwp.dylib". Hierdurch wird die Unterstützung für Dokumente in den "Hangul Word Processor" (HWP) Versionen von 1997 und älter deaktiviert. Entsprechende Dokumente sollten deshalb vorher in andere Formate, wie z. B. OpenDocument, konvertiert werden. Patch: Debian Security Advisory DSA-3236-1 https://www.debian.org/security/2015/dsa-3236

CVE-2015-1774: Schwachstelle in OpenOffice / LibreOffice erlaubt
Denial-of-Service

Eine Schwachstelle existiert im HWP-Filter von Apache OpenOffice bis
einschließlich Version 4.1.1, OpenOffice.org sowie LibreOffice. Diese
Schwachstelle führt beim Öffnen eines speziell präparierten Dokumentes im
HWP-Dokumentenformat zu einer Speicherkorruption und dem Absturz der
Anwendung und möglicherweise kann es dabei sogar zur Ausführung von
Programmcode kommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0614/

Debian Security Advisory DSA-3236-1:
https://www.debian.org/security/2015/dsa-3236

OpenOffice Security Bulletin OpenOffice-ADV-CVE-2015-1774:
http://www.openoffice.org/security/cves/CVE-2015-1774.html

Schwachstelle CVE-2015-1774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1774

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben