Ranije ovog mjeseca pokrenuta je Zaklada Document LibreOffice 6.2.7 i 6.3.1, obje verzije održavanja koje su, među popravcima, imale i neke sigurnosne ispravke. Tek jučer u zadnji trenutak Canonical je ažurirao pakete iz svojih službenih spremišta i naknadno objavio sigurnosno izvješće USN-4138-1 koji su nam objasnili da su otkrili proboj sigurnosti u srednjoj hitnosti. Kao što to uvijek čine i mislim da je najbolje, tvrtka koja vodi Mark Shuttleworth prijavila je sigurnosnu manu nakon što su je ispravili.
Ranjivost spomenuta u izvješću USN-4138-1 je CVE-2019-9854, utječe na sve podržane verzije Ubuntua i detaljno opisuje sigurnosnu manu zbog koje LibreOffice nije dobro rukovao skriptama ugrađenim u dokumente, pa ako smo bili prevareni da otvorimo posebno dizajnirani dokument, udaljeni napadač mogao je izvršiti proizvoljan kod.
LibreOffice 6.2.7 sada je dostupan u službenim Ubuntu repozitorijima
U prošlim verzijama dodan je sloj sigurnosti kako bi se ispravila greška CVE-2019-9854, ali bilo je moguće zaobići i iskoristiti grešku LibreOffice. Ova ranjivost utječe na Ubuntu 19.04, Ubuntu 18.04, Ubuntu 16.04 pa čak i LibreOffice 6.3 iz Ubuntu 19.10, ali verzije dostupne u službenim spremištima već su riješile problem.
Specifične verzije koje uključuju zakrpu protiv CVE-2019-9854 su:
- v6.2.7 za Ubuntu 19.04.
- v6.0.7 za Ubuntu 18.04.
- v5.1.6 za Ubuntu 16.04.
- v6.3.1 za Ubuntu 19.10, još uvijek u fazi razvoja i koji će sutra pokrenuti svoju prvu beta verziju.
LibreOffice 6.2.7, v6.3.1 i ostatak ažuriranih verzija nisu bili jedini paketi koje je Canonical jučer ažurirao iz sigurnosnih razloga. Istodobno s onima iz uredskog paketa, tvrtka sa sjedištem u Velikoj Britaniji iskoristila je priliku ažurirati firefox pakete -, dodajući Firefox 69.0.1 koji također ispravlja sigurnosnu manu. Nakon što su instalirani svi paketi, preporučuje se da ponovno pokrenete računalo kako bi promjene stupile na snagu.