Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket libreoffice
Paket openoffice.org
Paket raptor

Betroffene Plattformen:

Mandriva Linux 2011
Mandriva Linux 2011/X86_64

Eine Schwachstelle in der Bibliothek Raptor, welche u.a. in LibreOffice und
OpenOffice verwendet wird, erlaubt einem entfernten Angreifer Zugriff auf
vertrauliche Daten oder schlimmstenfalls beliebigen Code zur Ausführung zu
bringen.

Raptor ist eine freie C-Bibliothek die Parser und “Serialisierer” enthält,
die verwendet werden können, um RDF (Resource Description Framework)-Syntax
zu verarbeiten und zu erzeugen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://www.mandriva.com/security

CVE-2012-0037: Schwachstelle in Raptor

In Raptor, einer Bibliothek zum Verarbeiten von RDF-Dateien (Ressource
Description Framework) wurde eine XML External Entity (XXE)-Schwachstelle
gefunden. Diese ermöglicht einem entfernten Angreifer durch ein speziell
präpariertes Dokument (RDF-Datei), dass vertrauliche Daten vom Dateisystem
in das Dokument eingefügt werden, falls er einen Nutzer davon überzeugt, die
RDF-Datei zu öffnen. Schlimmstenfalls ist es dem Angreifer auch möglich,
beliebigen Code mit den Rechten der Anwendung auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0766/

Das Hersteller Advisory:
http://www.mandriva.com/security/advisories?name=MDVSA-2012:063
http://www.mandriva.com/security/advisories?name=MDVSA-2012:062
http://www.mandriva.com/security/advisories?name=MDVSA-2012:061

Schwachstelle CVE-2012-0037:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0037

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.