Na początku tego miesiąca uruchomiono The Document Foundation LibreOffice 6.2.7 i 6.3.1, obie wersje konserwacyjne, które wśród swoich poprawek miały kilka poprawek bezpieczeństwa. Dopiero wczoraj w ostatniej chwili firma Canonical zaktualizowała pakiety swoich oficjalnych repozytoriów, a później opublikowała raport bezpieczeństwa USN-4138-1 To wyjaśniło nam, że wykryli plik naruszenie bezpieczeństwa o średniej pilności. Jak zawsze i myślę, że jest najlepsza, firma, która prowadzi Mark Shuttleworth, zgłosiła lukę w zabezpieczeniach po tym, jak ją naprawili.
Luka wymieniona w raporcie USN-4138-1 to CVE-2019-9854, wpływa na wszystkie obsługiwane wersje Ubuntu i wyszczególnia lukę w zabezpieczeniach, która sprawiła, że LibreOffice nie radził sobie dobrze ze skryptami osadzonymi w dokumentach, więc gdybyśmy zostali oszukani do otwarcia specjalnie zaprojektowanego dokumentu, osoba atakująca zdalnie może wykonać dowolny kod.
LibreOffice 6.2.7 jest już dostępny w oficjalnych repozytoriach Ubuntu
W poprzednich wersjach dodano warstwę zabezpieczeń, aby naprawić błąd CVE-2019-9854, ale można ją obejść i wykorzystać błąd LibreOffice. Ta luka dotyczy Ubuntu 19.04, Ubuntu 18.04, Ubuntu 16.04 a nawet LibreOffice 6.3 z Ubuntu 19.10, ale wersje dostępne w oficjalnych repozytoriach już rozwiązały problem.
Konkretne wersje, które zawierają poprawkę przeciwko CVE-2019-9854 to:
- Wersja 6.2.7 dla Ubuntu 19.04.
- Wersja 6.0.7 dla Ubuntu 18.04.
- Wersja 5.1.6 dla Ubuntu 16.04.
- Wersja 6.3.1 dla Ubuntu 19.10, wciąż w fazie rozwoju, która jutro uruchomi pierwszą wersję beta.
LibreOffice 6.2.7, v6.3.1 i pozostałe zaktualizowane wersje nie były jedynymi pakietami, które Canonical zaktualizował wczoraj ze względów bezpieczeństwa. W tym samym czasie, co pakiet biurowy, firma z Wielkiej Brytanii skorzystała z okazji zaktualizuj pakiety firefox, dodając Firefox 69.0.1, który również naprawia lukę w zabezpieczeniach. Po zainstalowaniu wszystkich pakietów zaleca się ponowne uruchomienie komputera, aby zmiany odniosły skutek.