Aikaisemmin tässä kuussa The Document Foundation perustettiin LibreOffice 6.2.7 ja 6.3.1, molemmat huoltoversiot, joissa korjausten joukossa oli joitain suojauskorjauksia. Vasta eilen viime hetkellä Canonical päivitti virallisten arkistojensa paketit ja julkaisi myöhemmin tietoturvaraportin USN-4138-1 joka selitti meille, että he olivat havainneet a keskipitkän kiireellinen turvallisuusrikko. Kuten he aina tekevät ja mielestäni on parasta, Mark Shuttleworthia johtava yritys ilmoitti turvallisuusvirheestä korjaamisen jälkeen.
USN-4138-1-raportissa mainittu haavoittuvuus on CVE-2019-9854, se vaikuttaa kaikkiin tuettuihin Ubuntun versioihin ja sisältää tietoturvavirheen, joka sai LibreOfficen käsittelemään asiakirjoihin upotettuja komentosarjoja hyvin, joten jos meidät huijataan avaamaan erityisesti suunniteltu asiakirja, etähyökkääjä voi suorittaa mielivaltaisen koodin.
LibreOffice 6.2.7 on nyt saatavana virallisissa Ubuntu-arkistoissa
Aiemmissa versioissa lisättiin suojaustaso korjaamaan CVE-2019-9854 -vika, mutta LibreOffice-virheen kiertäminen oli mahdollista. Tämä haavoittuvuus vaikuttaa Ubuntu 19.04, Ubuntu 18.04, Ubuntu 16.04 ja jopa LibreOffice 6.3 Ubuntu 19.10: stä, mutta virallisissa arkistoissa saatavilla olevat versiot ovat jo ratkaisseet ongelman.
CVE-2019-9854: n korjaustiedoston sisältävät erityisversiot ovat:
- v6.2.7 Ubuntu 19.04: lle.
- v6.0.7 Ubuntu 18.04: lle.
- v5.1.6 Ubuntu 16.04: lle.
- v6.3.1 Ubuntu 19.10: lle, joka on vielä kehitysvaiheessa ja joka käynnistää ensimmäisen beta-versionsa huomenna.
LibreOffice 6.2.7, v6.3.1 ja muut päivitetyt versiot eivät olleet ainoat Canonicalin eilen päivitetyt paketit turvallisuussyistä. Samanaikaisesti kuin toimistopaketin, brittiläinen yritys käytti tilaisuutta päivitä Firefox-paketit, lisäämällä Firefox 69.0.1, joka myös korjaa tietoturva-aukon. Kun kaikki paketit on asennettu, on suositeltavaa käynnistää tietokone uudelleen, jotta muutokset tulevat voimaan.