Actualidad

Contacto

Miércoles, 31 Julio 2019 15:34

Nuestro equipo de ciberinteligencia avisa de una vulnerabilidad en LibreOffice

El equipo de ciberinteligencia de Entelgy Innotec Security avisa de la publicación de una vulnerabilidad en LibreOffice con nivel de criticidad alto.

1.  CVE-2019-9848. Se ha detectado una vulnerabilidad en LibreOffice, paquete de software de oficina de código abierto. El error reside en la forma en la que se manejan los scripts de LibreLogo (entorno de programación Python que utiliza gráficos vectoriales interactivos) que podrían permitir a un atacante la ejecución de código arbitrario en el contexto del usuario que ejecuta la aplicación y obtener acceso no autorizado. Además, un intento fallido podría provocar una denegación de servicio.

La vulnerabilidad ha obtenido una puntuación de 7.5 según la escala CVSSv2 de la base de datos del NIST. Esto es debido a que el fallo es explotable de forma remota, con una complejidad baja, no es requerida autenticación alguna y un ataque exitoso produciría un impacto parcial. Hasta el momento no se han detectado exploits que permitan a los atacantes aprovechar esta vulnerabilidad  ni actividad en la red relacionada.

Recursos afectados:

  • LibreOffice versiones anteriores a la2.5, sin incluir.
  • Ubuntu versión04
  • Ubuntu versión04 LTS
  • Ubuntu versión04 LTS
  • Fedora 30 versión2.5.2

Solución a la vulnerabilidad:

Para solucionar la vulnerabilidad, actualizar a la última versión  estable disponible, la 6.2.5,  a través del enlace que se ofrece a continuación: https://es.libreoffice.org/descarga/libreoffice-nuevo/?version=6.2.0&lang=en-USPor su parte, Ubuntu y Fedora han lanzado sus correspondientes avisos con las actualizaciones disponibles para corregir la vulnerabilidad. Para actualizar Ubuntu, en caso de duda, consultar las instrucciones ofrecidas por este.

Recomendaciones:

El equipo de ciberinteligencia de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se han detectado medidas de mitigación alternativas a las ofrecida por el fabricante.

Referencias:

S5 Box