Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (30.04.2015):
Für Fedora 20 wird ein Sicherheitsupdate auf LibreOffice 4.2.8.2 in Form
des Paketes libreoffice-4.2.8.2-8.fc20 (im Status ‘testing’) zur Verfügung
gestellt.
Version 2 (28.04.2015):
Für Fedora 21 wird ein Sicherheitsupdate auf LibreOffice 4.3.7 in Form des
Paketes libreoffice-4.3.7.2-3.fc21 (im Status ‘testing’) zur Verfügung
gestellt.
Version 1 (27.04.2015):
Neues Advisory
Betroffene Software:
Apache OpenOffice <= 4.1.1 LibreOffice < 4.3.7 Betroffene Plattformen: Apple Mac OS X Debian Linux 7.8 Wheezy Debian Linux 8.0 Jessie Microsoft Windows Red Hat Fedora 20 Red Hat Fedora 21 Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, indem er einen Benutzer dazu bringt ein schädliches, speziell präpariertes HWP-Dokument zu öffnen, um einen Denial-of-Service (DoS)-Angriff durchzuführen oder möglicherweise beliebigen Programmcode auszuführen. Für Apache OpenOffice wurde angekündigt, dass die Schwachstelle in Version 4.1.2 behoben sein wird. Bis dieses verfügbar sein wird, wird ein Workaround empfohlen. Für die stabilen Distributionen Debian Wheezy (7.8) 'oldstable' und Jessie (8.0) werden bereits Backport-Sicherheitsupdates für LibreOffice zur Verfügung gestellt. Workaround: Benutzer von Apache OpenOffice sollten die verwundbare Bibliothek aus dem Programmverzeichnis ihrer OpenOffice-Installation entfernen oder zumindest umbenennen. Unter Windows handelt es sich um die Datei "hwp.dll", unter Mac OS X heißt die Datei "libhwp.dylib". Hierdurch wird die Unterstützung für Dokumente in den "Hangul Word Processor" (HWP) Versionen von 1997 und älter deaktiviert. Entsprechende Dokumente sollten deshalb vorher in andere Formate, wie z. B. OpenDocument, konvertiert werden. Patch: Debian Security Advisory DSA-3236-1 https://www.debian.org/security/2015/dsa-3236
Patch:
Fedora Security Update FEDORA-2015-7022
https://admin.fedoraproject.org/updates/FEDORA-2015-7022/libreoffice-4.3.7.2-3.fc21
Patch:
Fedora Security Update FEDORA-2015-7213
https://admin.fedoraproject.org/updates/FEDORA-2015-7213/libreoffice-4.2.8.2-8.fc20
CVE-2015-1774: Schwachstelle in OpenOffice / LibreOffice erlaubt
Denial-of-Service
Eine Schwachstelle existiert im HWP-Filter von Apache OpenOffice bis
einschließlich Version 4.1.1, OpenOffice.org sowie LibreOffice. Diese
Schwachstelle führt beim Öffnen eines speziell präparierten Dokumentes im
HWP-Dokumentenformat zu einer Speicherkorruption und dem Absturz der
Anwendung und möglicherweise kann es dabei sogar zur Ausführung von
Programmcode kommen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0614/
Debian Security Advisory DSA-3236-1:
https://www.debian.org/security/2015/dsa-3236
OpenOffice Security Bulletin OpenOffice-ADV-CVE-2015-1774:
http://www.openoffice.org/security/cves/CVE-2015-1774.html
Schwachstelle CVE-2015-1774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1774
Fedora Security Update FEDORA-2015-7022:
https://admin.fedoraproject.org/updates/FEDORA-2015-7022/libreoffice-4.3.7.2-3.fc21
Fedora Security Update FEDORA-2015-7213:
https://admin.fedoraproject.org/updates/FEDORA-2015-7213/libreoffice-4.2.8.2-8.fc20
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
