Tidigare denna månad lanserades The Document Foundation LibreOffice 6.2.7 och 6.3.1, båda underhållsversionerna som bland sina korrigeringar hade vissa säkerhetsfixar. Det var först i går i sista minuten som Canonical uppdaterade paketen med sina officiella arkiv och senare publicerade säkerhetsrapporten USN-4138-1 som förklarade för oss att de hade upptäckt en brådskande säkerhetsöverträdelse. Som de alltid gör och jag tycker är bäst rapporterade företaget som driver Mark Shuttleworth säkerhetsfelet när de hade rättat till det.
Sårbarheten som nämns i rapporten USN-4138-1 är CVE-2019-9854, det påverkar alla stödda Ubuntu-versioner och beskriver ett säkerhetsfel som gjorde att LibreOffice inte hanterade skripten som är inbäddade i dokumenten, så om vi lurades att öppna ett specialdesignat dokument en fjärranfallare kan köra godtycklig kod.
LibreOffice 6.2.7 nu tillgängligt i de officiella Ubuntu-förvaren
Ett säkerhetsskikt lades till i tidigare versioner för att fixa CVE-2019-9854-felet, men det var möjligt att komma runt och dra nytta av LibreOffice-felet. Denna sårbarhet påverkar Ubuntu 19.04, Ubuntu 18.04, Ubuntu 16.04 och till och med LibreOffice 6.3 från Ubuntu 19.10, men de versioner som finns tillgängliga i de officiella förvaren har redan löst problemet.
De specifika versionerna som innehåller plåstret mot CVE-2019-9854 är:
- v6.2.7 för Ubuntu 19.04.
- v6.0.7 för Ubuntu 18.04.
- v5.1.6 för Ubuntu 16.04.
- v6.3.1 för Ubuntu 19.10, fortfarande i utvecklingsfas och som kommer att lansera sin första beta imorgon.
LibreOffice 6.2.7, v6.3.1 och resten av de uppdaterade versionerna var inte de enda paket som Canonical uppdaterade igår av säkerhetsskäl. Samtidigt som kontorssviten tog det brittiska företaget tillfället i akt uppdatera Firefox-paket, lägga till Firefox 69.0.1 som också åtgärdar en säkerhetsfel. När alla paket har installerats rekommenderas att du startar om datorn för att ändringarna ska träda i kraft.