E-Book-Tool Calibre: Codeschmuggel durch kritische Sicherheitslücke möglich
Durch eine kritische Sicherheitslücke im E-Book-Tool Calibre können nicht angemeldete Angreifer Code einschleusen. Ein Update dichtet das Leck ab.
(Bild: Black Jack/Shutterstock.com)
In der E-Book-Toolsammlung Calibre klafft eine kritische Sicherheitslücke. Angreifer können ohne vorherige Anmeldung beliebigen Code einschleusen und ausführen. Zudem können sie durch eine weitere Lücke beliebige Dateien im Dateisystem lesen. Aktualisierte Calibre-Pakete schließen die Sicherheitslücken.
Die Version 7.16 von Calibre bessert laut Changelog gleich vier Schwachstellen aus. Am schwerwiegendsten ist eine Lücke im Content Server, die Angreifern ohne vorherige Authentifizierung das Einschleusen und Ausführen von Schadcode und somit den vollständigen Zugriff auf den Rechner ermöglicht. Die Entdecker von Starlabs erörtern die Lücke in einer Mitteilung detaillierter. Sofern der Server mit Passwort versehen wurde, müssen Angreifer es jedoch kennen (CVE-2024-6782, CVSS 9.8, Risiko "kritisch"). Abhilfe schafft zudem, den Content-Server nicht zu starten.
Calibre-Update korrigiert vier Schwachstellen
Ebenfalls von Starlabs gemeldet wurde eine zweite Sicherheitslücke in Calibre, durch die Angreifer ebenfalls ohne vorherige Authentifizierung beliebige Dateien lesend zugreifen können. Aufgrund einer unzureichenden Begrenzung eines Pfadnamens auf ein eingeschränktes Verzeichnis können sie eine sogenannte Path Traversal ausführen, also im Dateisystem mittels Pfadzusätzen wie "../" navigieren (CVE-2024-6781, CVSS 7.5, hoch).
Die neue Version der E-Book-Verwaltung schließt zudem eine Cross-Site-Scripting-Lücke (CVE-2024-7008, CVSS 5.4, mittel) sowie ein SQL-Injection-Leck (CVE-2024-7009, CVSS 4.2, mittel). Aktualisierte Installationspakete stehen auf der Download-Seite des Calibre-Projekts zum Herunterladen bereit. Es gibt dort Pakete für Linux, macOS sowie Windows, auch eine portable Version ist verfügbar.
Wer Calibre zur Verwaltung seiner E-Book- oder Artikelsammlung verwendet, sollte die aktualisierte Software zeitnah herunterladen und installieren. Insbesondere, wenn die Installation aus dem Netz erreichbar ist, sollte zumindest ein Passwort gesetzt und der Zugriff auf vertrauenswürdige Personen beschränkt werden. Calibre-Admins sollten in Betracht ziehen, den Server gar nicht im Internet zugreifbar zu machen, sondern etwa in ein VPN zu verfrachten.
(dmk)