LibreOffice 6.2.6 evita que un atacante remoto ejecute código arbitrario
Este fin de semana, The Document Foundation lanzó LibreOffice 6.2.6. La versión más actualizada en estos momentos es la v6.3 de la suite, pero la compañía suele poner a nuestra disposición al menos dos versiones: la más nueva que incluye las últimas funciones y otra anterior que ha recibido varias actualizaciones de mantenimiento y es más estable. La versión 6.2.6 pasa a ser la recomendada para su uso en equipos de producción, y más teniendo en cuenta que han solucionado algunos fallos de seguridad importantes.
En realidad, la “nueva” versión ha corregido varios fallos de seguridad, pero hay tres de ellos que son más importantes que el resto, tanto es así que Canonical lo ha publicado en su página de noticias de seguridad oficial. Según la compañía que dirige Mark Shuttleworth, los fallos afectan a Ubuntu 19.04, Ubuntu 18.04 y Ubuntu 16.04, o lo que es lo mismo, todas las versiones soportadas en su ciclo de vida natural.
LibreOffice 6.2.6 ya es la versión recomendada para equipos de producción
En los detalles de la publicación de Canonical leemos que se han corregido “Varios fallos de seguridad” en LibreOffice. Más concretamente, tres fallos de seguridad que prácticamente comparten descripción:
- CVE -20199850 y CVE-2019-9851: se descubrió que LibreOffice gestionaba incorrectamente los scripts LibreLogo. Si un usuario fuera engañado para abrir un documento especialmente diseñado, un atacante remoto podría causar que LibreOffice ejecutara código arbitrario.
- CVE-2019-9852: se descubrió que LibreOfficce gestionaba incorrectamente los scripts en los archivos de documentos. Si un usuario fuera engañado para abrir un documento especialmente diseñado, un atacante remoto posiblemente podría ejecutar código arbitrario.
Los parches que hay que aplicar son libreoffice-core – 1:6.2.6-0ubuntu0.19.04.1 en Ubuntu 19.04, libreoffice-core – 1:6.0.7-0ubuntu0.18.04.9 en Ubuntu 18.04 y libreoffice-core – 1:5.1.6~rc2-0ubuntu1~xenial9 en Ubuntu 16.04. Las actualizaciones ya están disponibles en los repositorios oficiales.
En las notas del lanzamiento de LibreOffice 6.2.6, The Document Foundation nos decía que se trataba de “el sexto lanzamiento menor de la familia LibreOffice 6.2, enfocada a usuarios en entornos de producción. Todos los usuarios de LibreOffice 6.1.x y 6.2.x deben actualizar inmediatamente para mejorar la seguridad, puesto que el software incluye tanto parches de seguridad como algunas correcciones de los últimos meses“. Ahora, tras la publicación de Canonical, ya sabemos por qué hicieron hincapié en que debíamos actualizar inmediatamente por nuestra seguridad.