Раніше цього місяця стартував Фонд Документів LibreOffice 6.2.7 та 6.3.1, обидві версії технічного обслуговування, які серед виправлень мали деякі виправлення безпеки. Лише вчора в останню хвилину Canonical оновив пакети своїх офіційних сховищ, а згодом опублікував звіт про безпеку УСН-4138-1 що пояснило нам, що вони виявили порушення середньої терміновості безпеки. Як і завжди, і я вважаю, що це найкраще, компанія, яка керує Марком Шаттлвортом, повідомила про недолік безпеки після того, як вони його виправили.
Вразливість, згадана у звіті USN-4138-1, є CVE-2019-9854, це впливає на всі підтримувані версії Ubuntu і деталізує недолік безпеки, через який LibreOffice погано обробляє сценарії, вбудовані в документи, тому, якщо вони нас обманули відкрити спеціально розроблений документ, віддалений зловмисник може виконати довільний код.
LibreOffice 6.2.7 тепер доступний в офіційних сховищах Ubuntu
У попередніх версіях був доданий рівень безпеки, щоб виправити помилку CVE-2019-9854, але можна було обійти та скористатися перевагами помилки LibreOffice. Ця вразливість впливає на Ubuntu 19.04, Ubuntu 18.04, Ubuntu 16.04 і навіть LibreOffice 6.3 з Ubuntu 19.10, але версії, доступні в офіційних сховищах, вже вирішили проблему.
Конкретні версії, які включають виправлення проти CVE-2019-9854:
- v6.2.7 для Ubuntu 19.04.
- v6.0.7 для Ubuntu 18.04.
- v5.1.6 для Ubuntu 16.04.
- v6.3.1 для Ubuntu 19.10, який все ще перебуває у стадії розробки, і який завтра випустить свою першу бета-версію.
LibreOffice 6.2.7, v6.3.1 та решта оновлених версій не були єдиними пакетами, які Canonical оновив вчора з міркувань безпеки. Одночасно з офісними пакетами, британська компанія скористалася можливістю оновити пакети Firefox - -, додаючи Firefox 69.0.1, який також виправляє недолік безпеки. Після встановлення всіх пакунків рекомендується перезавантажити комп'ютер, щоб зміни набрали чинності.