DFN-CERT

Advisory-Archiv

2019-1462: LibreOffice: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2019-07-17 18:52)
Neues Advisory
Version 2 (2019-07-18 12:11)
Canonical stellt für Ubuntu 19.04, 18.04 LTS und 16.04 LTS Sicherheitsupdates zur Behebung der Schwachstellen bereit.
Version 3 (2019-07-31 12:52)
Der Hersteller gibt an, dass die beiden Schwachstellen im 'Fresh'-Versionszweig von LibreOffice mit Version 6.2.5 behoben wurden. Für den stabilen Versionszweig 6.1.x stehen keine neuen Informationen zur Verfügung.
Version 4 (2019-08-19 12:45)
Für Fedora 29 steht ein neues Sicherheitsupdate in Form des Paketes 'libreoffice-6.1.6.3-3.fc29' im Status 'testing' bereit, welches das frühere Update FEDORA-2019-3d204785d5 (libreoffice-6.1.6.3-2.fc29) ersetzt (Referenz wurde hier entfernt) und weitere Schwachstellen behebt.

Betroffene Software

Middleware
Office

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann aufgrund einer Schwachstelle in LibreLogo beliebigen Python-Code zur Ausführung bringen. Eine weitere Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen beim Laden von 'Bullet'-Graphen.

Debian stellt für die alte stabile Distribution Stretch (9.9) und die stabile Distribution Buster (10) Sicherheitsupdates in Form der aktuellen Versionen 1:5.2.7-1+deb9u9 bzw. 1:6.1.5-3+deb10u2 zur Verfügung.

Für Fedora 29 und 30 stehen Sicherheitsupdates in Form der Pakete 'libreoffice-6.1.6.3-2.fc29' und 'libreoffice-6.2.5.2-1.fc30' bereit, die sich derzeit noch im Status 'pending' befinden.

Schwachstellen:

CVE-2019-9848

Schwachstelle in LibreOffice ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-9849

Schwachstelle in Libreoffice ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.