Začátkem tohoto měsíce byla spuštěna Nadace dokumentů LibreOffice 6.2.7 a 6.3.1, obě verze údržby, které mezi svými opravami obsahovaly některé opravy zabezpečení. Až včera na poslední chvíli společnost Canonical aktualizovala balíčky ze svých oficiálních úložišť a následně zveřejnila bezpečnostní zprávu USN-4138-1 to nám vysvětlovalo, že zjistili a středně závažné porušení bezpečnosti. Jak vždy dělají a myslím, že je to nejlepší, společnost, která provozuje Mark Shuttleworth, nahlásila bezpečnostní chybu, jakmile ji opravili.
Zranitelnost uvedená ve zprávě USN-4138-1 je CVE-2019-9854, ovlivňuje všechny podporované verze Ubuntu a podrobně popisuje bezpečnostní chybu, díky které LibreOffice nezvládl skripty vložené v dokumentech dobře, takže pokud jsme byli podvedeni k otevření speciálně navrženého dokumentu, vzdálený útočník mohl spustit libovolný kód.
LibreOffice 6.2.7 je nyní k dispozici v oficiálních úložištích Ubuntu
V minulých verzích byla přidána vrstva zabezpečení, která opravila chybu CVE-2019-9854, ale bylo možné ji obejít a využít chybu LibreOffice. Tato chyba zabezpečení ovlivňuje Ubuntu 19.04, Ubuntu 18.04, Ubuntu 16.04 a dokonce i LibreOffice 6.3 z Ubuntu 19.10, ale verze, které jsou k dispozici v oficiálních úložištích, již problém vyřešily.
Konkrétní verze, které obsahují opravu proti CVE-2019-9854, jsou:
- v6.2.7 pro Ubuntu 19.04.
- v6.0.7 pro Ubuntu 18.04.
- v5.1.6 pro Ubuntu 16.04.
- v6.3.1 pro Ubuntu 19.10, stále ve fázi vývoje a která zítra zahájí svoji první beta verzi.
LibreOffice 6.2.7, v6.3.1 a zbytek aktualizovaných verzí nebyly z bezpečnostních důvodů jedinými včera aktualizovanými balíčky Canonical. Ve stejné době jako kancelářský balík využila britská společnost příležitosti aktualizovat balíčky firefox, přidání Firefox 69.0.1, který také opravuje bezpečnostní chybu. Po instalaci všech balíčků se doporučuje restartovat počítač, aby se změny projevily.