A principios de este mes, The Document Foundation lanzó LibreOffice 6.2.7 y 6.3.1, ambas versiones de mantenimiento que, entre sus correcciones, había algunas de seguridad. No fue hasta ayer a ultima hora que Canonical actualizó los paquetes de sus repositorios oficiales y, posteriormente, publicó el informe de seguridad USN-4138-1 que nos explicaba que habían detectado un fallo de seguridad de urgencia media. Como hacen siempre y creo que es lo mejor, la compañía que dirige Mark Shuttleworth informó del fallo de seguridad una vez ya lo habían corregido.
La vulnerabilidad que menciona el informe USN-4138-1 es la CVE-2019-9854, afecta a todas las versiones de Ubuntu soportadas y detalla un fallo de seguridad que hacía que LibreOffice no gestionara bien los scripts incrustados en los documentos, por lo que si nos engañaban para abrir un documento especialmente diseñado, un atacante remoto podría ejecutar código arbitrario.
LibreOffice 6.2.7 ya disponible en los repositorios oficiales de Ubuntu
Se añadió una capa de seguridad en versiones pasadas para corregir el fallo CVE-2019-9854, pero se podía sortear y aprovecharse del fallo de LibreOffice. Esta vulnerabilidad afecta a Ubuntu 19.04, Ubuntu 18.04, Ubuntu 16.04 e incluso al LibreOffice 6.3 de Ubuntu 19.10, pero las versiones que hay disponibles en los repositorios oficiales ya han solucionado el problema.
Las versiones concretas que incluyen el parche contra el CVE-2019-9854 son:
- v6.2.7 para Ubuntu 19.04.
- v6.0.7 para Ubuntu 18.04.
- v5.1.6 para Ubuntu 16.04.
- v6.3.1 para Ubuntu 19.10, aún en fase de desarrollo y que mañana lanzará su primera beta.
LibreOffice 6.2.7, la v6.3.1 y el resto de versiones actualizadas no fueron los únicos paquetes que Canonical actualizó ayer por seguridad. Al mismo tiempo que los de la suite de ofimática, la compañía con sede en Reino Unido aprovechó para actualizar los paquetes de Firefox, añadiendo Firefox 69.0.1 que también corrige un fallo de seguridad. Una vez instalados todos los paquetes, se recomienda reiniciar el equipo para que los cambios surtan efecto.
Fuente: ubunlog
