2018-0722: libxls: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-04-17 14:58)

Neues Advisory

Betroffene Software

Office
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in libxls ermöglichen einem entfernten, nicht authentisierten Angreifer die Korruption von Speicher über speziell präparierte Excel-Dateien und dadurch auch die Ausführung beliebigen Programmcodes.

Die Schwachstellen wurden in der Vergangenheit zum Teil bereits durch Patches für libxls adressiert. Informationen dazu finden sich bisher nur in einem GitHub-Repository, das zukünftig als Codebasis für die Bibliothek dienen soll. Ein offizielles Sicherheitsupdate steht daher noch aus.

Einige der Schwachstellen betreffen auch readxl, welches die Bibliothek libxls zum Lesen von Excel-Dateien einsetzt. Für readxl steht über das Paket 'r-cran-readxl' ein Sicherheitsupdate für Debian Stretch (stable) bereit, mit dem die referenzierten Schwachstellen mit Ausnahme von CVE-2017-12108 und CVE-2017-12109 adressiert werden.

Schwachstellen:

CVE-2017-12108

Schwachstelle in libxls ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-12109

Schwachstelle in libxls ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-12110

Schwachstelle in libxls ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-12111

Schwachstelle in libxls ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-2896

Schwachstelle in libxls ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-2897

Schwachstelle in libxls ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-2919

Schwachstelle in libxls ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.