Обнародована информация о обнаружены две уязвимости в офисном пакете LibreOffice, один из них считается потенциально наиболее опасным, поскольку позволяет выполнять код при открытии специально разработанного документа.
Первая уязвимость (уже в каталоге CVE-2023-0950) примечателен тем, что его потенциально можно использовать, позволяя выполнять код в системе, открывая электронную таблицу, содержащую специально измененные формулы.
Упоминается, что в уязвимых версиях LibreOffice некоторые формулы электронных таблиц деформированный, с AGGREGATE может быть создан с меньшим количеством параметров, чем ожидалось. Проблема вызвана потерей значимости индекса массива в коде синтаксического анализа формулы (ScInterpreter), используемом при обработке электронных таблиц.
Модуль электронных таблиц LibreOffice поддерживает несколько формул, которые принимают несколько параметров. Формулы интерпретируются 'ScInterpreter', который извлекает необходимые параметры для данной формулы из стека.
Вторая уязвимость а самое опасное(CVE-2023-2255) и это становится чрезвычайно важным, поскольку позволяет злоумышленнику подготовить документ специально разработан, чтобы при открытии без уведомления или предупреждения будет загружать внешние ссылки, что не соответствует заявленному поведению LibreOffice, что подразумевает предупреждение при загрузке связанного контента.
В затронутых версиях LibreOffice эти фреймы получают и отображают связанный документ без запроса при загрузке основного документа. Это не соответствовало поведению другого связанного содержимого документа, такого как объекты OLE, связанные разделы Writer или формулы CALC WEBSERVICE, которые предупреждают пользователя о наличии связанных документов и запрашивают разрешение на их обновление.
Проблема вызвана ошибкой в коде запроса разрешения при использовании механизма «плавающих фреймов», который похож на iframe в HTML и позволяет динамически включать содержимое из внешних файлов в документ.
Наконец, упоминается, что первая уязвимость была исправлена без особой огласки в мартовских версиях 7.4.6 и 7.5.1, в которых количество параметров уже проверено, а вторая уязвимость была исправлена в майских обновлениях LibreOffice 7.4.7 и 7.5.3. XNUMX, в котором существующий диспетчер ссылок обновлений был расширен для дополнительного управления обновлением содержимого IFrame.
Как установить LibreOffice 7.5.3?
Те, кто заинтересован в обновлении своего офисного пакета, должны знать, что, возможно, они уже используют самую последнюю версию, то есть версию 7.5.3.
Если вы еще не используете эту версию, вы можете выполнить команды обновления вашего дистрибутива или, в этом случае, вы можете выполнить этот процесс вручную. за это в первую очередь мы должны сначала удалить предыдущую версию, это для того, чтобы избежать последующих проблем.
Для этого мы должны открыть терминал и выполнить следующее (например, в Ubuntu и производных):
sudo apt-get remove --purge libreoffice*
sudo apt-get clean
sudo apt-get autoremove
Теперь перейдем к перейти на официальный сайт проекта где в вашем разделе загрузки мы можем получить пакет deb чтобы иметь возможность установить его в нашей системе.
Сделано скачивание мы собираемся распаковать содержимое только что купленного пакета:
tar -xzvf LibreOffice_7.5.3_Linux*.tar.gz
Входим в созданную после распаковки директорию, в моем случае это 64-битная:
cd LibreOffice_7.5.3_Linux_x86-64_deb
Затем заходим в папку, где находятся файлы deb LibreOffice:
cd DEBS
И, наконец, мы устанавливаем с помощью:
sudo dpkg -i *.deb
Как установить LibreOffice 7.5.3 на Fedora, openSUSE и производные?
Si вы используете систему, которая поддерживает установку пакетов rpm, Вы можете установить это новое обновление, получив пакет rpm со страницы загрузки LibreOffice.
Получили распаковываемый пакет:
tar -xzvf LibreOffice_7.5.3_Linux_x86-64_rpm.tar.gz
И мы устанавливаем пакеты, содержащиеся в папке:
sudo rpm -Uvh *.rpm
Как установить LibreOffice 7.5.3 на Arch Linux, Manjaro и производных?
В случае Arch и производных от нее систем Мы можем установить эту версию LibreOffice, просто открываем терминал и набираем:
sudo pacman -Sy libreoffice-fresh