Selle kuu alguses käivitas dokumendifond LibreOffice 6.2.7 ja 6.3.1, mõlemad hooldusversioonid, millel oli nende paranduste hulgas ka mõni turvaparandus. Alles eile viimasel minutil värskendas Canonical pakette oma ametlikest hoidlatest ja avaldas seejärel turvaraporti USN-4138-1 mis selgitas meile, et nad avastasid a keskmise kiireloomulisusega turvarikkumine. Nagu nad alati teevad ja ma arvan, et see on parim, teatas Mark Shuttleworthi juhtiv ettevõte turvaveast, kui nad olid selle parandanud.
USN-4138-1 aruandes nimetatud haavatavus on CVE-2019-9854, see mõjutab kõiki toetatud Ubuntu versioone ja kirjeldab turvaviga, mille tõttu LibreOffice ei käsitsenud dokumentidesse manustatud skripte hästi, nii et kui meid peteti spetsiaalselt loodud dokumendi avamiseks, kaugründaja võib käivitada suvalise koodi.
LibreOffice 6.2.7 on nüüd saadaval Ubuntu ametlikes hoidlates
CVE-2019-9854 vea parandamiseks lisati varasematesse versioonidesse turbekiht, kuid LibreOffice'i vea abil oli võimalik ümber käia ja seda ära kasutada. See haavatavus mõjutab Ubuntu 19.04, Ubuntu 18.04, Ubuntu 16.04 ja isegi LibreOffice 6.3 Ubuntu 19.10-st, kuid ametlikes hoidlates saadaval olevad versioonid on probleemi juba lahendanud.
Konkreetsed versioonid, mis sisaldavad CVE-2019-9854 vastast plaastrit, on järgmised:
- v6.2.7 Ubuntu 19.04 jaoks.
- v6.0.7 Ubuntu 18.04 jaoks.
- v5.1.6 Ubuntu 16.04 jaoks.
- v6.3.1 Ubuntu 19.10 jaoks, mis on alles arendusfaasis ja mis käivitab homme oma esimese beetaversiooni.
LibreOffice 6.2.7, v6.3.1 ja ülejäänud värskendatud versioonid ei olnud ainsad paketid, mida Canonical eile turvalisuse huvides värskendas. Samal ajal kui kontoripaketiga, kasutas Suurbritannias asuv ettevõte seda võimalust värskendage Firefoxi pakette, lisades Firefox 69.0.1, mis parandab ka turvavea. Pärast kõigi pakettide installimist on muudatuste jõustumiseks soovitatav arvuti taaskäivitada.