Vulnérabilités dans OpenOffice et LibreOffice

[Waobaen]

Bonsoir,

Au mois de mai de cette présente année, des vulnérabilités ont été découvertes dans OpenOffice et LibreOffice : elles concernent les versions antérieures à Apache OpenOffice 3.4.0 et à LibreOffice 3.5.3 (si vous possédez l'une de ces deux versions, vous êtes à l’abri de ces vulnérabilités). Si vous possédez une version antérieure à l'une de ces deux versions, vous pouvez être potentiellement affecté par ces vulnérabilités. Cela fait une bonne occasion pour migrer vers la dernière version de votre suite préférée.

Source de l'information
Bulletin de sécurité LibreOffice CVE-2012-1149 : http://www.libreoffice.org/advisories/cve-2012-1149/
Bulletin de sécurité OpenOffice CVE-2012-1149 : http://www.openoffice.org/security/cves ... -1149.html
Bulletin de sécurité LibreOffice CVE-2012-2334 : http://www.libreoffice.org/advisories/cve-2012-2334/
Bulletin de sécurité OpenOffice CVE-2012-2334 : http://www.openoffice.org/security/cves ... -2334.html

Cordialement

[Alain de La Chaume]

Bonjour

Ho véruse ! Je suis affecté de plein de vulnérabilités et je ne m'en doutais pas .
A vrai dire, c'est gentil de nous tenir si bien informés... quoique...
les "tartines" en british, c'est pas ma tasse de thé.

Et à bien réfléchir, toutes les applications sont vulnérables.
Toutes les versions de toutes les applications sont vulnérables.
Si elles ne sont pas considérées comme telles aujourd'hui, elles le seront demain.

Et ce n'est pas cela qui me fera vous suivre dans l'escalade infernale aux versions.
Même si je suis le seul à partager cet avis, je le garde.

Bien coOordialement, Alain

[bm92]

Bonjour,

Et à bien réfléchir, toutes les applications sont vulnérables.
Toutes les versions de toutes les applications sont vulnérables.

+1

Si elles ne sont pas considérées comme telles aujourd'hui, elles le seront demain.

+1
Parce que chaque nouvelle version apporte des corrections, des améliorations, mais aussi des problèmes nouveaux.

[Dude]

les "tartines" en british, c'est pas ma tasse de thé.

+1
Un lien vers le CERTA qui résume l'ensemble des bulletins mentionnés : http://www.certa.ssi.gouv.fr/site/CERTA ... index.html

Ces vulnérabilités ne concernent que les systèmes Windows et uniquement si utilisation de format propriétaire (DOC et WPD).

Encore une preuve qu'il faut utiliser l'ODF pour être tranquille.

[Waobaen]

Toutes les applications sont vulnérables. Toutes les versions de toutes les applications sont vulnérables.

Bonsoir M. de La Chaume

Tout d'abord, laissez moi vous exprimer la profonde gratitude que j'ai à votre égard. Je me sers au quotidien de votre extension concernant la sauvegarde incrémentée et je dois dire qu'elle m'a plusieurs fois sauver de situations difficiles. Cependant, je ne peux m'empêcher de réagir suite à votre propre réaction. Oui, je suis d'accord toutes les applications sont vulnérables et ce n'est pas cela qui est important. Ce qui est important, à mon sens, c'est le temps entre la découverte d'une faille et sa résolution. Cependant, indirectement, je trouve que cette phrase me donne raison et dessert votre raisonnement car si toute application est vulnérable, il est donc important d'être à jour pour que l'application dont on dispose soit le moins vulnérable possible, car je pense que ce n'est le but de personne que d'avoir une version d'un quelconque logiciel remplie de vulnérabilités, de failles de sécurité et de bugs. Et oui, la version de LibreOffice que j'ai aujourd'hui (3.5.3) sera, peut-être, vulnérable dans deux semaines mais je n'aurai pas à subir les conséquences de ces vulnérabilités puisque j'aurai la version 3.5.4 (qui sort le 28 mai) qui me protégera de ces vulnérabilités. Je trouve donc que votre argument n'est pas valable. Après, ce n'est que mon interprétation des choses et je conçois que vous pouvez en avoir une tout autre que la mienne. Après, il est intéressant, je trouve, de partager ici nos conceptions des choses de manière apaisée sans méchanceté ni animosité .

Bien à vous

[tintin]

Bonjour,

Courir après les mises à jour n'est pas toujours une bonne chose.
La preuve avec Java. http://user.services.openoffice.org/fr/ ... 45#p184945
pour ne citer que ce cas-là.

Heureusement on a toujours le choix.

Cordialement

[Vulcain]

Sans vouloir troller, il y a mise à jour et mise à niveau. La première n'apporte que des correction mineurs pour résoudre des bugs et des failles de sécurité. La deuxième apporte des nouveautés qui peuvent être majeures ou mineures.
Les mise à jour sont à faire au plus vite, alors que les mises à niveau demandent souvent du recul: l'apport de nouveautés s'accompagne souvent de régressions qu'il faut cerner.
Le passage de java 6 à java 7 est une mise à niveau mineur, pas, une mise à jour (java à des mise à jour trimestrielle de mémoire). Donc ton exemple Tintin ne me semble pas pertinent.

Il y a eu des précisions sur les vulnérabilités: http://listarchives.libreoffice.org/fr/ ... 07040.html

[Dude]

Il y a eu des précisions sur les vulnérabilités

Euh, c'est qu'est ce que je dis :

Ces vulnérabilités ne concernent que les systèmes Windows et uniquement si utilisation de format propriétaire (DOC et WPD).

Le passage de java 6 à java 7 est une mise à niveau mineur

Désolé mais le passage à la 1.7 est bien une mise à jour majeure : h**p://www.generation-nt.com/java-7-se-oracle- ... 37261.html

[Alain de La Chaume]

Bonjour à tous, bonjour Waobaen

il est donc important d'être à jour pour que l'application dont on dispose soit le moins vulnérable possible

Ce Conseil est donné par les Grands Maîtres de ce Forum. Et c'est un bon conseil...
...à utiliser avec modération.

Pour être clair, ce qui m'a fait réagir à votre message, c'est que vous donniez l'impression d'avoir fait une découverte de la plus haute importance : OpenOffice et LibreOffice seraient atteints de vulnérabilités... Et on nous l'aurait caché !
D'où mon affirmation, sans nuance pour l'occasion : "Toutes les versions de toutes les applications sont vulnérables."

la version de LibreOffice que j'ai aujourd'hui (3.5.3) sera, peut-être, vulnérable dans deux semaines mais je n'aurai pas à subir les conséquences de ces vulnérabilités puisque j'aurai la version 3.5.4 (qui sort le 28 mai)

Je considère LibreOffice comme un cas particulier. La cadence de sortie des nouvelles versions empêche (oui, je devrais dire "m'empêche") de suivre. Il n'est pas envisageable sérieusement de passer son temps à mettre à jour aussi fréquemment ses applications. Qu'aurais-je le temps de faire d'autre sinon ? Pour faire les choses correctement, j'ai l'habitude de vérifier d'abord si les fonctionnalités dont j'ai besoin sont toujours opérationnelles. Et après chaque installation, j'ai un gros travail de personnalisation, heureusement simplifié par l'exécution de macros.

Je vais toutefois apporter un bémol à ma petite note : il est tout à fait légitime de s'intéresser aux nouvelles versions, et avant même leur sortie officielle, si l'on participe aux tests qualité qui assurent leur fiabilité.

Puisque le sujet porte sur les mises à jour et les vulnérabilités... je vois que votre signature dit : "Windows Vista" (que je traduis par "vice-tas").
M'étonne que vous en soyez resté là ?

J'ai gardé le meilleur pour la fin :

Heureusement on a toujours le choix.

Et c'est en fin de compte l'essentiel. Merci Tintin, Sage parmi les sages.

Bien coOordialement, Alain

[Vulcain]

@ Dude
Oui, mais les infos apportaient selon moi, un autre éclairage ...
Après je suis resté sur le schéma x.y.w des versions où x est majeur, y mineur et w correctif. Il est vrai que certain logiciel comme Firefox ne respecte pas ce schéma et d'autres comme java, ont un une durée longue entre entre chaque mise à niveau que les mineur peuvent sembler majeur.

[Vulcain]

On peux noter que le groupe de travail MIMO qui est encore sous LibO 3.3.4, a fait un portage des correctifs de sécurité sur leur version:

Version de LibreOffice: 3.3.4.402
- Correction d'une faille de sécurité
- Correction d'un bug sous Windows 7 64bits (module Ifilter)
- Mise à jour de Java 1.6.32
- Mise à jour de la galerie de cliparts
- Mise à jour de la police Libération 1.07.2
- Mise à jour de la police Linux Biolinum
- Mise à jour de la police Linux Linlibertine
- Correction d'un bug dans CartOO'o

EDIT: Vous avez vu que le document a été réalisé sous Libo 3.5

[Ravioli]

Bonjour,

Sans relancer la discussion, je me permets de donner mon point de vue...
Tout programme, quel qu’il soit présente et présentera des failles de sécurité, de Word en passant par IE ou FireFox, Opera etc.
OOo, AOO ou LibO ne peuvent échapper à ce fait informatique
qui force à la vigilance par rapport aux "malwares" et autres cheval de Troie dès que l'on ouvre Internet.

Actuellement le plus gros vecteur de propagation des "Chevaux de Troie" et autres virus est l'ouverture directe —sans enregistrer sur le DD— des pièces jointes de courriels en .pdf ou en .ptt (comprenant par exemple des micro-images vérolées) qui empêchent les pare-feux d'exécuter correctement leur rôle.
Un enregistrement sur le DD permet de lancer manuellement en cas de doute sur l'origine de la pièce jointe une analyse rapide de la pièce par votre antivirus préféré.
L'autre vecteur étant les réseaux publics insuffisamment protégés comme les Wifi de MacDo ou des Hôtels...

Pour les mises à jour, AMHA, la priorité c'est de l’être par rapport à votre pare-feux et antivirus installé ! sans être sûr que la dernière MAJ vous empêche cependant d'être attaqué malgré la qualité de la protection mise en place.
Toutes ces annonces de vulnérabilité me semblent être souvent des publicités déguisées des Entreprises d'antivirus et pare-feux, en commençant par Microsoft en passant par Norton, BitDefender ou autres...même si leur activité semble s'exercer actuellement sur la "Protection" tout autant hypothétique des smartphones, marché particulièrement attractif et lucratif.
A+

[Vulcain]

La protection des smartphones est pour moi une belle blague car 90% des gens passe par le store et ceux qui le font pas sont comme même assez averti (ou devrait l'être) pour savoir ce que cela implique. (EDIT: risque de virus, malware & Co)

[Churay]

Bonjour,

Je plussoie aux propos rappelant que
- informatique et bugs ou failles (les premiers pouvant enchtraîner en cascade les secondes),
- les plus gros soucis venant de l'environnement de Bilou quelque soit sa déclinaison,
- la sécurisation des smartphones est un leurre (ou le sera tant que les majors ne reverront pas leurs choix).

Et dire qu'ils veulent permettre les transactions financières avec....
Et dire que Bilou s'y intéresse...

Le pire est à venir, cela dit cela allègera peut-être un peu la menace sur les ordis.

[Ravioli]

Bonjour,
pour étayer mon avis précédent, voici aujourd'hui la page du Monde.
Un virus informatique affole les imprimantes
Le Monde.fr | 25.06.2012 à 10h52 • Mis à jour le 25.06.2012 à 10h52
http://www.lemonde.fr/technologies/arti ... r=RSS-3208

Des pages et des pages de caractères incompréhensibles : l'éditeur de logiciels antivirus Symantec a signalé le retour d'un virus informatique, apparu en 2010, qui déclenche l'impression de fichiers sur les ordinateurs infectés. Qualifié par Symantec de "rêve pour tout vendeur de papier", le programme envoie un certain nombre de fichiers système dans la file d'attente de l'imprimante. Ces fichiers n'étant pas des fichiers textes, les pages imprimées sont une suite de symboles incompréhensibles. Les impressions continuent jusqu'à ce que l'imprimante soit à court de papier ou soit éteinte.

Ce gâchis de papier n'est cependant pas la première "mission" du virus, baptisé "Milicenso", qui se diffuse de plusieurs manières (pièce jointe d'un email, faux codec vidéo...). Son but est surtout d'ouvrir des pages Web contenant des publicités, desquelles ses concepteurs tirent des revenus.

Selon les constatations de Symantec, le virus s'est principalement diffusé aux États-Unis ; le Brésil, l'Inde, et le nord de l'Europe sont également touchés.

Si la source Sémantec ( Norton) est bien indiquée, quelle crédibilité à donner à cette source, et dans ce cas, "Le Monde" respecte-il sa propre règle écrite :

"L'existence d'une source ne suffit pas à valider une information. la critique des sources doit être une pratique constante".

Sujet de philo qui aurait pu être posé au bac...
OK, je passe...
A+

[Churay]

Bonjour

Si la source Sémantec ( Norton) est bien indiquée, quelle crédibilité à donner à cette source, et dans ce cas, "Le Monde" respecte-il sa propre règle écrite :

"L'existence d'une source ne suffit pas à valider une information. la critique des sources doit être une pratique constante".

Certes, mais dans le petit monde de la virologie (libre, non lié à Symantec ou autres), les choses ont décanté :
on est bien dans le cas d'un trojan, assez sioux dans son codage (méthodes d'obfuscation) & présentation de faux certificats, mais
- soit le print en folie est une méthode pour détourner l'attention (ce qui parait invraisemblable vu les techniques employées par ailleurs)
- soit c'est un bug : comme quoi même les trojans les plus sioux n'échapperaient pas au bug grossier...

Toujours est-il que l'arborescence de dissémination et les extensions utilisées, montrent bien qu'on est toujours dans une famille d'OS très précise...