자유게시판

996A77355D38A2C704

(이미지 출처 : 리브레오피스)

리브레오피스(LibreOffice)에서 3건의 보안 취약점이 발견되어 보안 패치가 나왔다는 소식입니다. 이번에 발견된 보안 취약점들은 CVE-2019-9847, CVE-2019-9848, CVE-2019-9849라는 이름이 붙어 있습니다.

먼저, CVE-2019-9847은 하이퍼링크를 활성화하면 무조건 실행되는 취약점이라고 합니다. 리브레오피스 6.1.5와 6.2.2 이하의 버전에서 존재하며, 윈도우와 맥OS에서만 문제가 됩니다. 따라서 리눅스에서는 영향을 주지 않습니다. 이 취약점은 리브레오피스 6.1.6과 6.2.3 버전에서 해결되었습니다.

그 다음으로 CVE-2019-9848과 CVE-2019-9849는 리브레오피스 6.2.4 이하의 버전에서 발생하며, 윈도우, 맥OS, 리눅스를 구분하지 않고 다 취약합니다. 임의의 스크립트 실행, 그리고 스텔스 모드의 결함과 관련된 취약점이며, 이 취약점은 리브레오피스 6.2.5 버전에서 해결되었습니다.

따라서 리브레오피스 공식 홈페이지에서 직접 리브레오피스를 다운로드하여 쓰는 사용자들은 적어도 리브레오피스 6.2.5 버전 이상으로 업데이트하기 바랍니다.

* 리브레오피스 6.3.x (정식 버전 출시 전) : 2020년 5월 29일 지원 종료 (예정)

* 리브레오피스 6.2.x : 2019년 11월 30일 지원 종료 (예정)

* ~~리브레오피스 6.1.x : 2019년 5월 29일 지원 종료~~

* ~~리브레오피스 6.0.x : 2018년 11월 26일 지원 종료~~

* ~~리브레오피스 5.4.x : 2018년 6월 11일 지원 종료~~

※ 리브레오피스 6.2.4 이하의 버전은 모두 취약함 → 6.2.5 이상의 버전으로 업데이트!

한편, 리브레오피스를 직접 빌드하여 배포하는 우분투와 데비안에서도 각각 해당 취약점들을 해결하는 보안 패치를 발표하였습니다.

먼저, 우분투는 우분투 18.04 LTS에서 6.0.7-0ubuntu0.18.04.8 버전을 배포하였고, 우분투 16.04 LTS에서 5.1.6~rc2-0ubuntu1~xenial8 버전을 배포하여 보안 패치를 끝냈습니다. 그러나 우분투 14.04 LTS는 이미 지원 종료되었기 때문에 아무런 보안 패치를 받지 못합니다.

그리고 데비안은 데비안 10 Buster에서 6.1.5-3+deb10u2 버전을, 데비안 9 Stretch에서 5.2.7-1+deb9u9 버전을 배포하여 역시 보안 패치를 끝냈습니다. 다만, 데비안 8 Jessie에서는 아직 취약점이 해결되지 않았으며, Testing 단계에 있는 Bullseye에서도 보안 패치가 없어 취약점이 그대로 남아 있습니다.

따라서 우분투와 데비안, 그리고 그에 기반하는 여러 종류의 리눅스 배포판(리눅스민트, 하모니카 등) 사용자들도 우분투와 데비안에서 제공하는 보안 패치를 서둘러 하여, 임의라고 쓰지만 실제로는 악성이라 읽어야 할 스크립트 공격으로부터 안전해지기 바랍니다.

* 리브레오피스 6.0.x for 우분투 18.04 LTS : 2023년 4월 중 지원 종료 (예정)

* 리브레오피스 5.1.x for 우분투 16.04 LTS : 2021년 4월 중 지원 종료 (예정)

* ~~리브레오피스 4.2.x for 우분투 14.04 LTS : 2019년 4월 30일 지원 종료~~

* 리브레오피스 6.1.x for 데비안 10 Buster : 2024년 중 지원 종료 (예정)

* 리브레오피스 5.2.x for 데비안 9 Stetch : 2022년 6월 중 지원 종료 (예정)

* 리브레오피스 4.3.x for 데비안 8 Jessie : 2020년 6월 30일 지원 종료 (예정)

* ~~리브레오피스 3.5.x for 데비안 7 Wheezy : 2018년 5월 31일 지원 종료~~

※ 우분투와 데비안에서 직접 빌드하여 배포하는 보안 패치가 이미 나와 있으니 그걸 하면 됩니다!

<참고>

https://www.libreoffice.org/about-us/security/advisories/cve-2019-9847/

https://www.libreoffice.org/about-us/security/advisories/cve-2019-9848/

https://www.libreoffice.org/about-us/security/advisories/cve-2019-9849/

https://wiki.documentfoundation.org/ReleasePlan

https://launchpad.net/ubuntu/+source/libreoffice

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-9847.html

https://tracker.debian.org/pkg/libreoffice

https://tracker.debian.org/media/packages/libr/libreoffice/changelog-15.2.7-1deb9u9

https://tracker.debian.org/media/packages/libr/libreoffice/changelog-16.1.5-3deb10u2

https://security-tracker.debian.org/tracker/CVE-2019-9847

출처: https://la-nube.tistory.com/678 [la Nube | 라 누베]

List of Articles
번호	제목	글쓴이	날짜	조회 수
1649	그로스해킹에 대해서	해중이	2022.09.17	512
1648	날씨 대박!	포릉이	2022.10.13	512
1647	무료세미나 - [챗GPT 러닝데이 & MS 애저톤] 챗GPT에 날개를 달아줄 랭체인! (LangChain)	인공지능팩토리	2023.04.06	512
1646	무료세미나 - [챗GPT 러닝데이 & MS 애저톤] 오프라인 리테일 기업의 ChatGPT 실무 사용기	인공지능팩토리	2023.04.12	512
1645	실비 보험횟수제한에대한 나의생각,,, 1	difjdisjfksj	2023.10.26	512
1644	[총 상금 1억원] 2022년 스마트농업 AI 경진대회 ~ 8월 28일 (일) 17시까지 접수마감	인공지능팩토리	2022.08.14	514
1643	개인적으로 리눅스 드로잉 프로그램 중 MyPaint가 정말 느낌이 좋습니다.	Zyryab	2023.01.13	514
1642	make 방법 문의입니다. 3	잘몰라요.	2022.12.22	514
1641	요즘 챗봇이 진짜 핫하네요.	재여이	2023.02.07	514
1640	요즘 왜이리 춥나요 ;;	재여이	2022.10.31	515
1639	[챗GPT 러닝데이 세미나] 사랑의 컨설턴트 챗GPT(챗GPT를 활용한 연애상담)	인공지능팩토리1	2023.10.05	515
1638	[무료교육 / 인턴십 연계] 2023 서울시 뉴딜일자리 콘텐츠 퍼포먼스 마케팅 전문가 과정 모집(~4.11)	엑아	2023.03.22	516
1637	[공모전] [한국농수산식품유통공사] 2022 농넷 농산물 가격 예측 AI 경진대회 ~ 8/28	인공지능팩토리	2022.08.08	518
1636	도메인 질문 2	해중이	2022.05.06	519
1635	지피티 이야기가 많네요.	다찌마와	2023.05.12	519
1634	일타스캔들 보시나요? 2	다찌마와	2023.01.30	520
1633	노트북 듀얼모니터 어떤가요?? 2	해중이	2022.08.31	520
1632	날씨가 조금은 풀렸네요.	재여이	2022.10.06	520
1631	날은 참 좋은데 미세먼지가	leaveoiop	2023.03.31	520
1630	벌써 2월이 끝나가고... 봄이	닝니니	2023.02.23	520

글쓴이

1649

그로스해킹에 대해서

해중이

2022.09.17

512

1648