Začiatkom tohto mesiaca bola spustená nadácia The Document Foundation LibreOffice 6.2.7 a 6.3.1, obidve verzie údržby, ktoré mali medzi svojimi opravami určité zabezpečenie. Až včera na poslednú chvíľu spoločnosť Canonical aktualizovala balíčky zo svojich oficiálnych úložísk a následne zverejnila správu o zabezpečení USN-4138-1 to nám vysvetlilo, že zistili a stredne závažné porušenie bezpečnosti. Ako vždy robia, a myslím si, že je to najlepšie, spoločnosť, ktorá prevádzkuje Marka Shuttlewortha, nahlásila bezpečnostnú chybu, akonáhle ju opravili.
Zraniteľnosť uvedená v správe USN-4138-1 je CVE-2019 9854,, ovplyvňuje všetky podporované verzie Ubuntu a podrobne popisuje bezpečnostnú chybu, vďaka ktorej LibreOffice nespracoval skripty vložené v dokumentoch dobre, takže ak by sme boli podvedení k otvoreniu špeciálne navrhnutého dokumentu, vzdialený útočník mohol spustiť ľubovoľný kód.
LibreOffice 6.2.7 je teraz k dispozícii v oficiálnych úložiskách Ubuntu
V minulých verziách bola pridaná vrstva zabezpečenia na opravu chyby CVE-2019-9854, ale bolo možné ju obísť a využiť chybu LibreOffice. Táto zraniteľnosť ovplyvňuje Ubuntu 19.04, Ubuntu 18.04, Ubuntu 16.04 a dokonca aj LibreOffice 6.3 z Ubuntu 19.10, ale verzie, ktoré sú k dispozícii v oficiálnych úložiskách, už problém vyriešili.
Konkrétne verzie, ktoré obsahujú opravu proti CVE-2019-9854, sú:
- v6.2.7 pre Ubuntu 19.04.
- v6.0.7 pre Ubuntu 18.04.
- v5.1.6 pre Ubuntu 16.04.
- v6.3.1 pre Ubuntu 19.10, stále vo vývojovej fáze a ktorá zajtra spustí svoju prvú beta verziu.
LibreOffice 6.2.7, v6.3.1 a zvyšok aktualizovaných verzií neboli jediné bezpečnostné balíčky, ktoré boli včera aktualizované z bezpečnostných dôvodov. V rovnakom čase ako kancelársky balík využila britská spoločnosť príležitosť aktualizovať balíčky firefox, pridanie Firefox 69.0.1, ktorý tiež opravuje bezpečnostnú chybu. Po nainštalovaní všetkých balíkov sa odporúča, aby sa zmeny prejavili až po reštartovaní počítača.