Tidligere denne måned lancerede The Document Foundation LibreOffice 6.2.7 og 6.3.1, begge vedligeholdelsesversioner, der blandt deres rettelser havde nogle sikkerhedsrettelser. Det var først i går i sidste øjeblik, at Canonical opdaterede pakkerne fra deres officielle arkiver og efterfølgende offentliggjorde sikkerhedsrapporten USN-4138-1 der forklarede os, at de havde opdaget en middelhastigheds sikkerhedsbrud. Som de altid gør, og jeg synes er det bedste, rapporterede firmaet, der driver Mark Shuttleworth, sikkerhedsfejlen, når de først havde rettet det.
Den sårbarhed, der er nævnt i rapporten USN-4138-1, er CVE-2019-9854, det påvirker alle understøttede Ubuntu-versioner og beskriver en sikkerhedsfejl, der fik LibreOffice til ikke at håndtere de scripts, der er indlejret i dokumenterne godt, så hvis vi blev narret til at åbne et specielt designet dokument, en fjernangriber kunne udføre vilkårlig kode.
LibreOffice 6.2.7 er nu tilgængeligt i de officielle Ubuntu-arkiver
Et sikkerhedslag blev tilføjet i tidligere versioner for at rette op på CVE-2019-9854-bugten, men det var muligt at komme rundt og drage fordel af LibreOffice-bugten. Denne sårbarhed påvirker Ubuntu 19.04, Ubuntu 18.04, Ubuntu 16.04 og endda LibreOffice 6.3 fra Ubuntu 19.10, men de versioner, der er tilgængelige i de officielle arkiver, har allerede løst problemet.
De specifikke versioner, der inkluderer patch mod CVE-2019-9854, er:
- v6.2.7 til Ubuntu 19.04.
- v6.0.7 til Ubuntu 18.04.
- v5.1.6 til Ubuntu 16.04.
- v6.3.1 til Ubuntu 19.10, stadig i udviklingsfase, og som lancerer sin første beta i morgen.
LibreOffice 6.2.7, v6.3.1 og resten af de opdaterede versioner var ikke de eneste pakker, Canonical opdaterede i går af sikkerhedsmæssige årsager. På samme tid som kontorsuiten benyttede det britiske selskab lejligheden til at opdater Firefox-pakker, tilføjer Firefox 69.0.1, som også løser en sikkerhedsfejl. Når alle pakker er installeret, anbefales det, at du genstarter computeren, før ændringerne træder i kraft.