2023-3081: LibreOffice: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2023-12-12 13:54): Neues Advisory
Version 2 (2023-12-14 17:40): Canonical stellt korrespondierend zu USN-6546-1 für Ubuntu 22.04 LTS und Ubuntu 20.04 LTS Sicherheitsupdates für 'libreoffice' bereit, um die Schwachstellen zu beheben.
Version 3 (2023-12-21 09:57): Für openSUSE Leap 15.4 und 15.5, SUSE Linux Enterprise Desktop 15 SP4 und 15 SP5, SUSE Linux Enterprise High Performance Computing 15 SP4 und 15 SP5, SUSE Linux Enterprise Micro 5.3, 5.4 und 5.5, SUSE Linux Enterprise Real Time 15 SP4 und 15 SP5, SUSE Linux Enterprise Server 15 SP4 und 15 SP5, SUSE Linux Enterprise Server for SAP Applications 15 SP4 und 15 SP5, SUSE Linux Enterprise Workstation Extension 15 SP4 und 15 SP5, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3, SUSE Manager Server 4.3 sowie SUSE Package Hub 15 SP4 und 15 SP5 stehen Sicherheitsupdates für 'libreoffice' bereit, um die Schwachstellen zu beheben.
Version 4 (2023-12-27 08:52): Für Debian 11 Bullseye (oldstable) steht Version 1:7.0.4-4+deb11u8 und für Debian 12 Bookworm (stable) steht Version 4:7.4.7-1+deb12u1 von 'libreoffice' bereit, um die Schwachstellen zu beheben.
Version 5 (2023-12-29 08:47): Für SUSE Linux Enterprise High Performance Computing, SUSE Linux Enterprise Server, SUSE Linux Enterprise Server for SAP Applications, SUSE Linux Enterprise Software Development Kit und SUSE Linux Enterprise Workstation Extension jeweils in Version 12 SP5 stehen Sicherheitsupdates für 'libreoffice' bereit, um die Schwachstellen zu beheben.
Version 6 (2024-03-20 12:58): Für Red Hat Enterprise Linux for x86_64 / for ARM 64 9, 9.0 EUS und 9.2 EUS (x86_64, aarch64), Red Hat Enterprise Linux Server 9.2 AUS (x86_64), Red Hat Enterprise Linux Server for ARM 64 9.0 4 Years of Updates und 9.2 4 Years of Updates (aarch64) sowie Red Hat CodeReady Linux Builder for x86_64 9, 9.0 EUS und 9.2 EUS (x86_64) stehen Sicherheitsupdates für 'libreoffice' bereit, um die Schwachstellen zu beheben.
Version 7 (2024-03-21 10:16): Für Oracle Linux 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'libreoffice' bereit, um die Schwachstellen zu beheben.
Version 8 (2024-03-22 07:38): Für Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 8.6 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.6 (x86_64, aarch64) und Red Hat Enterprise Linux Server - AUS / TUS 8.6 (x86_64) stehen Sicherheitsupdates für 'libreoffice' bereit, um die Schwachstellen zu beheben.
Version 9 (2024-03-26 10:04): Für Red Hat Enterprise Linux Server - AUS / TUS 8.4 (x86_64) stehen Sicherheitsupdates für 'libreoffice' bereit, um die Schwachstellen zu beheben.
Version 10 (2024-03-27 09:48): Für Red Hat Enterprise Linux for x86_64 / for ARM 64 8 und Extended Update Support 8.8 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 8.2 (x86_64), Red Hat Enterprise Linux Server - TUS 8.2, 8.8 (x86_64) sowie Red Hat CodeReady Linux Builder for x86_64 - 8 und Extended Update Support 8.8 (x86_64) stehen Sicherheitsupdates für 'libreoffice' bereit, um die Schwachstellen zu beheben.
Version 11 (2024-04-02 10:02): Für Oracle Linux 8 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'libreoffice' bereit, um die Schwachstellen zu beheben.
Version 12 (2024-06-12 11:08): Für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.4 (x86_64), Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.4 (aarch64), Red Hat CodeReady Linux Builder for x86_64 9 (x86_64) und Red Hat CodeReady Linux Builder for x86_64 - Extended Update Support 9.4 (x86_64) stehen Sicherheitsupdates für 'libreoffice' bereit, um die Schwachstellen zu beheben.
Version 13 (2024-06-13 09:04): Für Oracle Linux 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'libreoffice' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Middleware
Office

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
Container

Beschreibung:

Ein Angreifer kann zwei Schwachstellen im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen.

Für die Ausnutzung der Schwachstellen sind übliche Privilegien erforderlich. Beide Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung der Schwachstellen kann Einfluss auf andere Komponenten haben.

Der Hersteller stellt LibreOffice 7.5.9 und LibreOffice 7.6.4 zur Behebung der Schwachstellen bereit.

Für Ubuntu 23.04 und 23.10 stehen Pakete von 'libreoffice' zum Schließen der Sicherheitslücke zur Verfügung.

Für Fedora 38 wurde ein Sicherheitsupdate im Status 'testing' veröffentlicht mit dem Namen 'libreoffice-7.5.9.2-1.fc38'.

Schwachstellen:

CVE-2023-6185

Schwachstelle in LibreOffice ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-6186