RLSA-2026:28922 – Atualização de Segurança do LibreOffice no Rocky Linux 8

 

Atualização crítica de segurança do LibreOffice para Rocky Linux 8 corrige CVE-2026-4430 e outras vulnerabilidades. Guia técnico completo com comandos DNF, verificação e troubleshooting.

Em 25 de junho de 2026, a Rocky Linux disponibilizou o boletim de segurança RLSA-2026:28922, classificado como Moderate, addressing múltiplas vulnerabilidades no pacote LibreOffice para o Rocky Linux 8. 

A atualização afeta diretamente a versão 6.4.7.2-20.el8_10 e corrige, entre outras, a CVE-2026-4430 — uma vulnerabilidade de out-of-bounds write que pode ser explorada através de documentos OOXML especialmente maliciosos com parâmetros de criptografia manipulados.

Além da CVE-2026-4430, outras vulnerabilidades correlatas foram corrigidas nesta atualização, incluindo CVE-2026-6047 (heap buffer overflow no parsing de DOCX), CVE-2026-8356 (PPT legacy), CVE-2026-8357 (Calc com fórmulas longas) e CVE-2026-8358 (type confusion).

Para ambientes corporativos que dependem do LibreOffice para o processamento de documentos, a exploração bem-sucedida dessas falhas pode resultar em negação de serviço, execução de código arbitrário ou vazamento de informações. 

Este guia aborda o processo de atualização, verificação e boas práticas operacionais para garantir a integridade do parque de estações Rocky Linux 8.

Pré-requisitos

Antes de iniciar o procedimento, certifique-se de:

• Sistema operacional: Rocky Linux 8 (qualquer subversão)

• Privilégios: Acesso root ou sudo configurado

• Repositórios: Os repositórios base e updates do Rocky Linux 8 devem estar ativos e acessíveis

• Backup: Em ambientes críticos, realize snapshot do sistema ou backup dos dados antes da atualização

• Janela de manutenção: A atualização pode reiniciar serviços dependentes — planeje uma janela adequada

Verificação inicial

bash

$ cat /etc/rocky-release
Rocky Linux release 8.10 (Green Obsidian)

$ libreoffice --version
LibreOffice 6.4.7.2 20(Build:2)

$ dnf repolist
repo id                        repo name
appstream                      Rocky Linux 8 - AppStream
baseos                         Rocky Linux 8 - BaseOS
extras                         Rocky Linux 8 - Extras

---

Passo a Passo

1. Sincronização do Cache de Repositórios

Antes de qualquer operação, atualize o cache dos metadados dos repositórios para garantir que as informações mais recentes estejam disponíveis:

bash

$ sudo dnf clean all
35 files removed

$ sudo dnf makecache
Rocky Linux 8 - AppStream                      2.1 MB/s | 8.2 MB     00:03
Rocky Linux 8 - BaseOS                         1.8 MB/s | 6.4 MB     00:03
Rocky Linux 8 - Extras                         52 kB/s  | 12 kB     00:00
Metadata cache created.

Por que isso é importante: O comando makecache força a sincronização dos metadados dos repositórios, garantindo que o DNF tenha conhecimento da versão mais recente dos pacotes disponíveis, incluindo a atualização de segurança recém-publicada.

2. Identificação dos Pacotes Afetados

Para entender o escopo da atualização, liste todos os pacotes LibreOffice instalados no sistema:

bash

$ rpm -qa | grep -i libreoffice | sort
libreoffice-6.4.7.2-20.el8_10.x86_64
libreoffice-base-6.4.7.2-20.el8_10.x86_64
libreoffice-calc-6.4.7.2-20.el8_10.x86_64
libreoffice-core-6.4.7.2-20.el8_10.x86_64
libreoffice-draw-6.4.7.2-20.el8_10.x86_64
libreoffice-impress-6.4.7.2-20.el8_10.x86_64
libreoffice-math-6.4.7.2-20.el8_10.x86_64
libreoffice-writer-6.4.7.2-20.el8_10.x86_64
libreoffice-xsltfilter-6.4.7.2-20.el8_10.x86_64

A atualização RLSA-2026:28922 afeta especificamente os pacotes autocorr-* (dicionários de correção automática) e os binários principais do LibreOffice .

3. Aplicação da Atualização

Para aplicar a atualização de segurança, utilize o comando dnf update direcionado ao pacote específico. Isso evita atualizações indesejadas de outros pacotes:

bash

$ sudo dnf update libreoffice
Last metadata expiration check: 0:05:12 ago
Dependencies resolved.
================================================================================
 Package           Arch    Version                     Repository        Size
================================================================================
Updating:
 libreoffice       x86_64  6.4.7.2-21.el8_10          baseos           12 M
 libreoffice-calc  x86_64  6.4.7.2-21.el8_10          baseos          4.5 M
 libreoffice-core  x86_64  6.4.7.2-21.el8_10          baseos           32 M
 libreoffice-writer x86_64 6.4.7.2-21.el8_10          baseos          3.8 M
 autocorr-en      noarch   1:6.4.7.2-21.el8_10        baseos          1.2 M
 ... (demais pacotes autocorr-*)

Transaction Summary
================================================================================
Upgrade  18 Packages

Total download size: 89 MB
Is this ok [y/N]: y

Por que usar dnf update libreoffice em vez de dnf update: Direcionar a atualização ao pacote específico minimiza o risco de atualizações colaterais que poderiam quebrar dependências em ambientes com políticas de versionamento rígidas. 

Em servidores de produção, essa abordagem oferece controle granular sobre o que está sendo modificado.

4. Verificação Pós-Atualização

Após a conclusão da atualização, confirme que a nova versão está instalada:

bash

$ libreoffice --version
LibreOffice 6.4.7.2 21(Build:2)

$ rpm -q libreoffice
libreoffice-6.4.7.2-21.el8_10.x86_64

Verifique também se o boletim de segurança foi aplicado corretamente consultando os changelogs do pacote:

bash

$ rpm -q --changelog libreoffice | grep -i "CVE-2026"
- Resolves: rhbz#2467657 - Fix CVE-2026-4430 out-of-bounds write in OOXML
- Resolves: rhbz#2467658 - Fix CVE-2026-6047 heap overflow in DOCX parser

5. Validação em Ambientes Headless (Servidores)

Em servidores sem interface gráfica, onde o LibreOffice é utilizado para conversão de documentos via libreoffice --headless, realize um teste de sanidade:

bash

$ libreoffice --headless --convert-to pdf --outdir /tmp test.docx
convert /home/user/test.docx -> /tmp/test.pdf using writer_pdf_Export

$ echo $?
0

Um código de retorno 0 indica que a conversão foi bem-sucedida e que as bibliotecas do LibreOffice estão funcionando corretamente após a atualização.

6. Automação com Ansible

Para ambientes com múltiplos hosts, a atualização pode ser automatizada via Ansible:

yaml

- name: Apply LibreOffice security update RLSA-2026:28922
  hosts: rocky8_workstations
  become: yes
  tasks:
    - name: Update cache and install libreoffice security update
      dnf:
        name: libreoffice
        state: latest
        update_cache: yes
      register: dnf_result

    - name: Verify libreoffice version after update
      command: rpm -q libreoffice
      register: version_check

    - name: Log update result
      debug:
        msg: "LibreOffice updated to {{ version_check.stdout }}"
      when: dnf_result.changed

---

📘  Indicação de Leitura 

Livro: Segurança em Servidores Linux Ataque e Defesa

Esse livro  é um guia prático e abrangente sobre a segurança do sistema operacional Linux como um todo. O livro ensina a pensar como um atacante para fortalecer a defesa do servidor, abordando tópicos fundamentais como:

• Ferramentas de rede: Nmap, Netcat, knockd.

• Monitoramento: de arquivos e sistemas de arquivos.

• Defesas: contra malware e ataques DDoS.

• Descoberta de vulnerabilidades: como invasores encontram pontos fracos.

Segurança em Servidores Linux Ataque e Defesa: (anúncio) ->  https://link.amazon/B08G1PKaL

Eu ganho uma comissão quando você faz uma compra.

Troubleshooting

Problema Comum: Dependências Quebradas ou Conflitos de Versão

Cenário: Durante a execução do dnf update libreoffice, o sistema retorna erro de dependência, como:

text

Error: 
 Problem: package libreoffice-gtk3-6.4.7.2-20.el8_10.x86_64 requires 
          libreoffice-core(x86-64) = 6.4.7.2-20.el8_10, but none of the 
          providers can be installed.

Causa: Pacotes complementares do LibreOffice (como libreoffice-gtk3, libreoffice-kde, etc.) podem ter dependências específicas que não foram atualizadas simultaneamente.

Solução: Atualize todos os pacotes do LibreOffice de uma só vez utilizando um padrão curinga:

bash

$ sudo dnf update libreoffice-\*

Isso garante que todos os subpacotes sejam atualizados em conjunto, respeitando as dependências entre eles. Após a atualização, verifique novamente:

bash

$ rpm -qa | grep -i libreoffice | wc -l
24
$ rpm -qa | grep -i libreoffice | grep "20.el8_10" | wc -l
0   # Nenhum pacote deve permanecer na versão antiga

---

Armadilha Comum para Iniciantes

Atualizar o sistema inteiro com dnf update -y sem avaliar o escopo

Iniciantes frequentemente executam sudo dnf update -y para aplicar atualizações de segurança, confiando cegamente no gerenciador de pacotes. Em ambientes corporativos com políticas de versionamento ou dependências específicas, essa abordagem pode:

• Atualizar o kernel sem aviso prévio, exigindo reinicialização não planejada

• Quebrar compatibilidade com aplicações legadas que dependem de versões específicas de bibliotecas

• Introduzir alterações comportamentais em serviços críticos

Prática recomendada: Sempre direcione a atualização ao pacote ou grupo de pacotes específico (dnf update libreoffice) e revise o resumo da transação antes de confirmar. Em ambientes de produção, utilize ambientes de staging para validar a atualização antes de aplicar em produção.

Conclusão

A atualização RLSA-2026:28922 para o LibreOffice no Rocky Linux 8 aborda vulnerabilidades de severidade moderada que, embora não sejam críticas, representam riscos reais em ambientes que processam documentos de fontes não confiáveis. 

A aplicação do patch eleva o LibreOffice para a versão 6.4.7.2-21.el8_10, corrigindo as CVEs identificadas.

Recomenda-se que administradores de sistemas:

• Priorizem a aplicação desta atualização em estações de trabalho e servidores que processam documentos OOXML/DOCX

• Implementem monitoramento para detectar versões desatualizadas do LibreOffice

• Considerem a automação via Ansible ou ferramentas de configuração para garantir consistência em todo o parque

A correção está disponível nos repositórios oficiais do Rocky Linux 8 e pode ser aplicada com o procedimento descrito neste guia.