DFN-CERT

Advisory-Archiv

2018-0282: LibreOffice: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2018-02-12 14:18)
Neues Advisory
Version 2 (2018-02-13 12:21)
Für Fedora 26 und 27 stehen Sicherheitsupdates in Form der Pakete 'libreoffice-5.3.7.2-8.fc26' und 'libreoffice-5.4.5.1-1.fc27' im Status 'testing' zur Behebung der Schwachstelle bereit.
Version 3 (2018-02-13 13:34)
SUSE stellt für die SUSE Linux Enterprise Produkte Workstation Extension 12 SP2, Software Development Kit 12 SP2 und Desktop 12 SP2 Sicherheitsupdates bereit.
Version 4 (2018-02-15 10:44)
Für openSUSE Leap 42.3 sowie die SUSE Linux Enterprise Produktvarianten Workstation Extension, Software Development Kit und Desktop in der Version 12 SP3 stehen Sicherheitsupdates für das Paket 'libreoffice' zur Behebung der Schwachstelle zur Verfügung.
Version 5 (2018-02-22 10:48)
Canonical stellt für Ubuntu Linux 17.10, 16.04 LTS und 14.04 LTS Sicherheitsupdates für LibreOffice zur Verfügung, mit denen die Schwachstelle behoben wird.
Version 6 (2018-03-01 11:19)
Nach dem Sicherheitsupdate für LibreOffice war es in Ubuntu 17.10 nicht möglich, Dokumente von bestimmten Orten außerhalb des Home-Verzeichnisses zu öffnen. Canonical veröffentlicht ein neues Sicherheitsupdate zur Behebung dieser Regression in Ubuntu 17.10.
Version 7 (2018-03-07 10:25)
Red Hat veröffentlicht für die Red Hat Enterprise Linux Produkte Server 7, 7.4 EUS, 7.4 AUS und 7.4 TUS, Workstation 7, Desktop 7 und Linux for ARM 7 Sicherheitsupdates für LibreOffice, um die Schwachstelle zu beheben.
Version 8 (2018-03-08 10:07)
Oracle stellt für Oracle Linux 7 (x86_64) Sicherheitsupdates zur Verfügung, um die Schwachstelle zu beheben. Canonical veröffentlicht die Meldung USN-3579-3, um darüber zu informieren, das mittels des Sicherheitsupdates USN-3579-1 eine Regression für Ubuntu 17.10 eingeführt wurde, die mit dem jetzt verfügbaren Update korrigiert wird.
Version 9 (2018-03-14 14:13)
Red Hat stellt unter anderem für die Red Hat Enterprise Linux 6 Produktvarianten Desktop, Server und Workstation Sicherheitsupdates für 'libreoffice' bereit.
Version 10 (2018-03-14 17:39)
Für Oracle Linux 6 steht ebenfalls ein Sicherheitsupdate zur Behebung der Schwachstelle bereit.

Betroffene Software

Middleware
Office

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe eines manipulierten LibreOffice-Tabellendokumentes, dass ein Benutzer geöffnet hat, beliebige Dateien ausspähen, die der Benutzer lesen darf. Auf diese Weise kann der Angreifer auch sensitive Daten wie etwa Passwörter und Schlüssel eines Benutzers kompromittieren und dadurch weitere Angriffe durchführen.

Die offiziellen LibreOffice Releases mit den Versionen 6.0.1 und 5.4.5 stehen zum Download zur Verfügung und beheben die Schwachstelle. Die für LibreOffice genannte Schwachstelle CVE-2018-1055 ist ein Duplikat der hier beschriebenen Schwachstelle CVE-2018-6871 und wird deshalb nicht aufgeführt (NVD: ** REJECT ** DO NOT USE THIS CANDIDATE NUMBER. ConsultIDs: CVE-2018-6871. Reason: This candidate is a reservation duplicate of CVE-2018-6871.).

Debian stellt für die Distribution Stretch (stable) 9.3 ein Backport-Sicherheitsupdate für 'libreoffice' zur Behebung dieser Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2018-6871

Schwachstelle in LibreOffice ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.