Vulnérabilités dans OpenOffice et LibreOffice

Les dernières nouvelles du front du libre, débats et autres informations générales sur nos suites bureautiques préférées ou sur ce site, en évitant de provoquer toute polémique (troll).
Aucun support assuré ici : posez votre question dans la section appropriée.

Modérateur : Vilains modOOs

Waobaen
Membre hOOnoraire
Membre hOOnoraire
Messages : 119
Inscription : 26 févr. 2012 16:24

Vulnérabilités dans OpenOffice et LibreOffice

Message par Waobaen »

Bonsoir,

Au mois de mai de cette présente année, des vulnérabilités ont été découvertes dans OpenOffice et LibreOffice : elles concernent les versions antérieures à Apache OpenOffice 3.4.0 et à LibreOffice 3.5.3 (si vous possédez l'une de ces deux versions, vous êtes à l’abri de ces vulnérabilités). Si vous possédez une version antérieure à l'une de ces deux versions, vous pouvez être potentiellement affecté par ces vulnérabilités. Cela fait une bonne occasion pour migrer vers la dernière version de votre suite préférée.

Source de l'information
Bulletin de sécurité LibreOffice CVE-2012-1149 : http://www.libreoffice.org/advisories/cve-2012-1149/
Bulletin de sécurité OpenOffice CVE-2012-1149 : http://www.openoffice.org/security/cves ... -1149.html
Bulletin de sécurité LibreOffice CVE-2012-2334 : http://www.libreoffice.org/advisories/cve-2012-2334/
Bulletin de sécurité OpenOffice CVE-2012-2334 : http://www.openoffice.org/security/cves ... -2334.html

Cordialement
AOO 4.1.5 W 8.1
Avatar de l’utilisateur
Alain de La Chaume
HédOOniste
HédOOniste
Messages : 1527
Inscription : 28 sept. 2008 14:56
Localisation : ʇsǝnoo,ꞁ ɐ ʇuǝɯǝʇǝꞁdɯoↃ

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Alain de La Chaume »

Bonjour :)

Ho véruse ! Je suis affecté de plein de vulnérabilités et je ne m'en doutais pas :D .
A vrai dire, c'est gentil de nous tenir si bien informés... quoique...
les "tartines" en british, c'est pas ma tasse de thé.

Et à bien réfléchir, toutes les applications sont vulnérables.
Toutes les versions de toutes les applications sont vulnérables.
Si elles ne sont pas considérées comme telles aujourd'hui, elles le seront demain.

Et ce n'est pas cela qui me fera vous suivre dans l'escalade infernale aux versions.
Même si je suis le seul à partager cet avis, je le garde. :D

Bien coOordialement, Alain
(API-culteur et pêcheur de macros en mode loisirs occasionnels, mais toujours les pieds dans l'OO)
AOO 4.1.2 sous Linux Xubuntu Voyager 14.04 (x86_64)
bm92
ManitOOu
ManitOOu
Messages : 2562
Inscription : 26 nov. 2005 15:42
Contact :

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par bm92 »

Bonjour,
Alain de La Chaume a écrit :Et à bien réfléchir, toutes les applications sont vulnérables.
Toutes les versions de toutes les applications sont vulnérables.
+1
Alain de La Chaume a écrit :Si elles ne sont pas considérées comme telles aujourd'hui, elles le seront demain.
+1
Parce que chaque nouvelle version apporte des corrections, des améliorations, mais aussi des problèmes nouveaux.
Bernard

OpenOffice.org 1.1.5 fr / Apache OpenOffice 4.1.1 / LibreOffice 5.0.5.2 (X64)
MS-Windows 7 SP1 64bits Familial
Avatar de l’utilisateur
Dude
Grand Maître de l'OOffice
Grand Maître de l'OOffice
Messages : 23419
Inscription : 03 mars 2006 09:45
Localisation : 127.0.0.1
Contact :

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Dude »

Alain de La Chaume a écrit :les "tartines" en british, c'est pas ma tasse de thé.
+1
Un lien vers le CERTA qui résume l'ensemble des bulletins mentionnés : http://www.certa.ssi.gouv.fr/site/CERTA ... index.html

Ces vulnérabilités ne concernent que les systèmes Windows et uniquement si utilisation de format propriétaire (DOC et WPD).

Encore une preuve qu'il faut utiliser l'ODF pour être tranquille.
Waobaen
Membre hOOnoraire
Membre hOOnoraire
Messages : 119
Inscription : 26 févr. 2012 16:24

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Waobaen »

Alain de La Chaume a écrit : Toutes les applications sont vulnérables. Toutes les versions de toutes les applications sont vulnérables.
Bonsoir M. de La Chaume

Tout d'abord, laissez moi vous exprimer la profonde gratitude que j'ai à votre égard. Je me sers au quotidien de votre extension concernant la sauvegarde incrémentée et je dois dire qu'elle m'a plusieurs fois sauver de situations difficiles. Cependant, je ne peux m'empêcher de réagir suite à votre propre réaction. Oui, je suis d'accord toutes les applications sont vulnérables et ce n'est pas cela qui est important. Ce qui est important, à mon sens, c'est le temps entre la découverte d'une faille et sa résolution. Cependant, indirectement, je trouve que cette phrase me donne raison et dessert votre raisonnement car si toute application est vulnérable, il est donc important d'être à jour pour que l'application dont on dispose soit le moins vulnérable possible, car je pense que ce n'est le but de personne que d'avoir une version d'un quelconque logiciel remplie de vulnérabilités, de failles de sécurité et de bugs. Et oui, la version de LibreOffice que j'ai aujourd'hui (3.5.3) sera, peut-être, vulnérable dans deux semaines mais je n'aurai pas à subir les conséquences de ces vulnérabilités puisque j'aurai la version 3.5.4 (qui sort le 28 mai) qui me protégera de ces vulnérabilités. Je trouve donc que votre argument n'est pas valable. Après, ce n'est que mon interprétation des choses et je conçois que vous pouvez en avoir une tout autre que la mienne. Après, il est intéressant, je trouve, de partager ici nos conceptions des choses de manière apaisée sans méchanceté ni animosité .

Bien à vous
AOO 4.1.5 W 8.1
Avatar de l’utilisateur
tintin
GourOOu
GourOOu
Messages : 8090
Inscription : 18 juil. 2008 17:29
Localisation : F-Oise + F-Savoie

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par tintin »

Bonjour,

Courir après les mises à jour n'est pas toujours une bonne chose.
La preuve avec Java. http://user.services.openoffice.org/fr/ ... 45#p184945
pour ne citer que ce cas-là.

Heureusement on a toujours le choix.

Cordialement
AOO 4.1.12 et LibO stable 7.2.7 / macOS Intel 12.4 Monterey.
Adoptium-temurinJDK_1.8.0_332 / Firefox / Safari / Thunderbird / Time Machine
Pour sauvegarder vos documents c'est ceinture ET bretelles
Avatar de l’utilisateur
Vulcain
InconditiOOnnel
InconditiOOnnel
Messages : 989
Inscription : 01 juin 2009 11:52
Localisation : Poitou

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Vulcain »

Sans vouloir troller, il y a mise à jour et mise à niveau. La première n'apporte que des correction mineurs pour résoudre des bugs et des failles de sécurité. La deuxième apporte des nouveautés qui peuvent être majeures ou mineures.
Les mise à jour sont à faire au plus vite, alors que les mises à niveau demandent souvent du recul: l'apport de nouveautés s'accompagne souvent de régressions qu'il faut cerner.
Le passage de java 6 à java 7 est une mise à niveau mineur, pas, une mise à jour (java à des mise à jour trimestrielle de mémoire). Donc ton exemple Tintin ne me semble pas pertinent.

Il y a eu des précisions sur les vulnérabilités: http://listarchives.libreoffice.org/fr/ ... 07040.html
LibreOffice 3.5.7.2 sous Ubuntu 12.04 (vient des dépôts)
--
"Un logiciel Libre est gratuit une fois qu'il a été payé" F.ELIE
Avatar de l’utilisateur
Dude
Grand Maître de l'OOffice
Grand Maître de l'OOffice
Messages : 23419
Inscription : 03 mars 2006 09:45
Localisation : 127.0.0.1
Contact :

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Dude »

Vulcain a écrit :Il y a eu des précisions sur les vulnérabilités
Euh, c'est qu'est ce que je dis :
Dude a écrit :Ces vulnérabilités ne concernent que les systèmes Windows et uniquement si utilisation de format propriétaire (DOC et WPD).
Vulcain a écrit :Le passage de java 6 à java 7 est une mise à niveau mineur
Désolé mais le passage à la 1.7 est bien une mise à jour majeure : h**p://www.generation-nt.com/java-7-se-oracle- ... 37261.html

:)
Avatar de l’utilisateur
Alain de La Chaume
HédOOniste
HédOOniste
Messages : 1527
Inscription : 28 sept. 2008 14:56
Localisation : ʇsǝnoo,ꞁ ɐ ʇuǝɯǝʇǝꞁdɯoↃ

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Alain de La Chaume »

Bonjour à tous, bonjour Waobaen
[b][color=#104090]Waobaen[/color][/b] a écrit :il est donc important d'être à jour pour que l'application dont on dispose soit le moins vulnérable possible
Ce Conseil est donné par les Grands Maîtres de ce Forum. Et c'est un bon conseil...
...à utiliser avec modération.

Pour être clair, ce qui m'a fait réagir à votre message, c'est que vous donniez l'impression d'avoir fait une découverte de la plus haute importance : OpenOffice et LibreOffice seraient atteints de vulnérabilités... Et on nous l'aurait caché !
D'où mon affirmation, sans nuance pour l'occasion : "Toutes les versions de toutes les applications sont vulnérables."
[b][color=#104090]Waobaen[/color][/b] a écrit :la version de LibreOffice que j'ai aujourd'hui (3.5.3) sera, peut-être, vulnérable dans deux semaines mais je n'aurai pas à subir les conséquences de ces vulnérabilités puisque j'aurai la version 3.5.4 (qui sort le 28 mai)
Je considère LibreOffice comme un cas particulier. La cadence de sortie des nouvelles versions empêche (oui, je devrais dire "m'empêche") de suivre. Il n'est pas envisageable sérieusement de passer son temps à mettre à jour aussi fréquemment ses applications. Qu'aurais-je le temps de faire d'autre sinon ? Pour faire les choses correctement, j'ai l'habitude de vérifier d'abord si les fonctionnalités dont j'ai besoin sont toujours opérationnelles. Et après chaque installation, j'ai un gros travail de personnalisation, heureusement simplifié par l'exécution de macros.

Je vais toutefois apporter un bémol à ma petite note : il est tout à fait légitime de s'intéresser aux nouvelles versions, et avant même leur sortie officielle, si l'on participe aux tests qualité qui assurent leur fiabilité. :wink:

Puisque le sujet porte sur les mises à jour et les vulnérabilités... je vois que votre signature dit : "Windows Vista" (que je traduis par "vice-tas").
M'étonne que vous en soyez resté là ? :lol:

J'ai gardé le meilleur pour la fin :
[b][color=#FF8000]tintin[/color][/b] a écrit :Heureusement on a toujours le choix.
Et c'est en fin de compte l'essentiel. Merci Tintin, Sage parmi les sages.

Bien coOordialement, Alain
Dernière modification par Alain de La Chaume le 23 mai 2012 10:46, modifié 1 fois.
(API-culteur et pêcheur de macros en mode loisirs occasionnels, mais toujours les pieds dans l'OO)
AOO 4.1.2 sous Linux Xubuntu Voyager 14.04 (x86_64)
Avatar de l’utilisateur
Vulcain
InconditiOOnnel
InconditiOOnnel
Messages : 989
Inscription : 01 juin 2009 11:52
Localisation : Poitou

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Vulcain »

@ Dude
Oui, mais les infos apportaient selon moi, un autre éclairage ...
Après je suis resté sur le schéma x.y.w des versions où x est majeur, y mineur et w correctif. Il est vrai que certain logiciel comme Firefox ne respecte pas ce schéma et d'autres comme java, ont un une durée longue entre entre chaque mise à niveau que les mineur peuvent sembler majeur.
LibreOffice 3.5.7.2 sous Ubuntu 12.04 (vient des dépôts)
--
"Un logiciel Libre est gratuit une fois qu'il a été payé" F.ELIE
Avatar de l’utilisateur
Vulcain
InconditiOOnnel
InconditiOOnnel
Messages : 989
Inscription : 01 juin 2009 11:52
Localisation : Poitou

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Vulcain »

On peux noter que le groupe de travail MIMO qui est encore sous LibO 3.3.4, a fait un portage des correctifs de sécurité sur leur version:
Version de LibreOffice: 3.3.4.402
- Correction d'une faille de sécurité
- Correction d'un bug sous Windows 7 64bits (module Ifilter)
- Mise à jour de Java 1.6.32
- Mise à jour de la galerie de cliparts
- Mise à jour de la police Libération 1.07.2
- Mise à jour de la police Linux Biolinum
- Mise à jour de la police Linux Linlibertine
- Correction d'un bug dans CartOO'o
EDIT: Vous avez vu que le document a été réalisé sous Libo 3.5 :D
LibreOffice 3.5.7.2 sous Ubuntu 12.04 (vient des dépôts)
--
"Un logiciel Libre est gratuit une fois qu'il a été payé" F.ELIE
Avatar de l’utilisateur
Ravioli
GourOOu
GourOOu
Messages : 7610
Inscription : 18 oct. 2007 18:28

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Ravioli »

Bonjour,

Sans relancer la discussion, je me permets de donner mon point de vue...
Tout programme, quel qu’il soit présente et présentera des failles de sécurité, de Word en passant par IE ou FireFox, Opera etc.
OOo, AOO ou LibO ne peuvent échapper à ce fait informatique
qui force à la vigilance par rapport aux "malwares" et autres cheval de Troie dès que l'on ouvre Internet.

Actuellement le plus gros vecteur de propagation des "Chevaux de Troie" et autres virus est l'ouverture directe —sans enregistrer sur le DD— des pièces jointes de courriels en .pdf ou en .ptt (comprenant par exemple des micro-images vérolées) qui empêchent les pare-feux d'exécuter correctement leur rôle.
Un enregistrement sur le DD permet de lancer manuellement en cas de doute sur l'origine de la pièce jointe une analyse rapide de la pièce par votre antivirus préféré.
L'autre vecteur étant les réseaux publics insuffisamment protégés comme les Wifi de MacDo ou des Hôtels...

Pour les mises à jour, AMHA, la priorité c'est de l’être par rapport à votre pare-feux et antivirus installé ! sans être sûr que la dernière MAJ vous empêche cependant d'être attaqué malgré la qualité de la protection mise en place.
Toutes ces annonces de vulnérabilité me semblent être souvent des publicités déguisées des Entreprises d'antivirus et pare-feux, en commençant par Microsoft en passant par Norton, BitDefender ou autres...même si leur activité semble s'exercer actuellement sur la "Protection" tout autant hypothétique des smartphones, marché particulièrement attractif et lucratif.
A+
AOO 4.1.1 LibO 4.4.5
Vista SP2, Win7 SP1, Win7 SP1 Pro, Win 8.1.1 Pro, Mac Intel OS X 10.10.5, Ubuntu 12.04 LTS 32 bits, OpenSuse 13.2, Debian 7
& LibO 4.0.6 pour Mac PPC 10.5.8
Avatar de l’utilisateur
Vulcain
InconditiOOnnel
InconditiOOnnel
Messages : 989
Inscription : 01 juin 2009 11:52
Localisation : Poitou

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Vulcain »

La protection des smartphones est pour moi une belle blague car 90% des gens passe par le store et ceux qui le font pas sont comme même assez averti (ou devrait l'être) pour savoir ce que cela implique. (EDIT: risque de virus, malware & Co)
Dernière modification par Vulcain le 25 juin 2012 10:27, modifié 1 fois.
LibreOffice 3.5.7.2 sous Ubuntu 12.04 (vient des dépôts)
--
"Un logiciel Libre est gratuit une fois qu'il a été payé" F.ELIE
Avatar de l’utilisateur
Churay
ManitOOu
ManitOOu
Messages : 2668
Inscription : 30 avr. 2009 06:54
Localisation : CATALUNYA
Contact :

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Churay »

Bonjour,

Je plussoie aux propos rappelant que
- informatique et bugs ou failles (les premiers pouvant enchtraîner en cascade les secondes),
- les plus gros soucis venant de l'environnement de Bilou quelque soit sa déclinaison,
- la sécurisation des smartphones est un leurre (ou le sera tant que les majors ne reverront pas leurs choix).

Et dire qu'ils veulent permettre les transactions financières avec....
Et dire que Bilou s'y intéresse...

Le pire est à venir, cela dit cela allègera peut-être un peu la menace sur les ordis.
cOOordialement
---
AOO 4.0.1 W7-PRO & LO 5.1.6.2 Debian 7.8 & Ubuntu 16.04 LTS
---
F1 : ça aide...
XRay + SDK :super:
---
Quand le NOT CONFIRMED sera corrigé (OOo et LO) , je serai heureux...
Avatar de l’utilisateur
Ravioli
GourOOu
GourOOu
Messages : 7610
Inscription : 18 oct. 2007 18:28

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Ravioli »

Bonjour,
pour étayer mon avis précédent, voici aujourd'hui la page du Monde.
Un virus informatique affole les imprimantes
Le Monde.fr | 25.06.2012 à 10h52 • Mis à jour le 25.06.2012 à 10h52
http://www.lemonde.fr/technologies/arti ... r=RSS-3208
Des pages et des pages de caractères incompréhensibles : l'éditeur de logiciels antivirus Symantec a signalé le retour d'un virus informatique, apparu en 2010, qui déclenche l'impression de fichiers sur les ordinateurs infectés. Qualifié par Symantec de "rêve pour tout vendeur de papier", le programme envoie un certain nombre de fichiers système dans la file d'attente de l'imprimante. Ces fichiers n'étant pas des fichiers textes, les pages imprimées sont une suite de symboles incompréhensibles. Les impressions continuent jusqu'à ce que l'imprimante soit à court de papier ou soit éteinte.

Ce gâchis de papier n'est cependant pas la première "mission" du virus, baptisé "Milicenso", qui se diffuse de plusieurs manières (pièce jointe d'un email, faux codec vidéo...). Son but est surtout d'ouvrir des pages Web contenant des publicités, desquelles ses concepteurs tirent des revenus.

Selon les constatations de Symantec, le virus s'est principalement diffusé aux États-Unis ; le Brésil, l'Inde, et le nord de l'Europe sont également touchés.
Si la source Sémantec ( Norton) est bien indiquée, quelle crédibilité à donner à cette source, et dans ce cas, "Le Monde" respecte-il sa propre règle écrite :
Le Monde du mercredi 22 septembre 2010, Gérad Davet a écrit :"L'existence d'une source ne suffit pas à valider une information. la critique des sources doit être une pratique constante".
Sujet de philo qui aurait pu être posé au bac...
OK, je passe...
A+
AOO 4.1.1 LibO 4.4.5
Vista SP2, Win7 SP1, Win7 SP1 Pro, Win 8.1.1 Pro, Mac Intel OS X 10.10.5, Ubuntu 12.04 LTS 32 bits, OpenSuse 13.2, Debian 7
& LibO 4.0.6 pour Mac PPC 10.5.8
Avatar de l’utilisateur
Churay
ManitOOu
ManitOOu
Messages : 2668
Inscription : 30 avr. 2009 06:54
Localisation : CATALUNYA
Contact :

Re: Vulnérabilités dans OpenOffice et LibreOffice

Message par Churay »

Bonjour
Ravioli a écrit :Si la source Sémantec ( Norton) est bien indiquée, quelle crédibilité à donner à cette source, et dans ce cas, "Le Monde" respecte-il sa propre règle écrite :
Le Monde du mercredi 22 septembre 2010, Gérad Davet a écrit :"L'existence d'une source ne suffit pas à valider une information. la critique des sources doit être une pratique constante".
Certes, mais dans le petit monde de la virologie (libre, non lié à Symantec ou autres), les choses ont décanté :
on est bien dans le cas d'un trojan, assez sioux dans son codage (méthodes d'obfuscation) & présentation de faux certificats, mais
- soit le print en folie est une méthode pour détourner l'attention (ce qui parait invraisemblable vu les techniques employées par ailleurs)
- soit c'est un bug : comme quoi même les trojans les plus sioux n'échapperaient pas au bug grossier...

Toujours est-il que l'arborescence de dissémination et les extensions utilisées, montrent bien qu'on est toujours dans une famille d'OS très précise...
cOOordialement
---
AOO 4.0.1 W7-PRO & LO 5.1.6.2 Debian 7.8 & Ubuntu 16.04 LTS
---
F1 : ça aide...
XRay + SDK :super:
---
Quand le NOT CONFIRMED sera corrigé (OOo et LO) , je serai heureux...
Verrouillé