Bonjour à tous,
J'ai posté sur fr.comp.applications.bureautique le message de Sophie
concernant un problème de vulnérabilité. Et voici l'intégralité d'un
message de retour. Heureusement 2 courriers de démentis ont suivis.
ATTENTION, il est possible qu'il s'agisse d'un cheval de Troyes,
lisez attentivement ce qui suit avant toute action!
On Tue, 12 Apr 2005 22:13:43 +0200, Christianwtd wrote:
Je vous transmet un message d'OpenOffice.org:
Pouvez vous dire à quel titre vous recevez des alertes de sécurité
d'OpenOffice.org? Je ne vois même pas trace de cette alerte dans la
mailing liste officielle d'OpenOffice.org. Je n'ai pas non plus encore vu
cette alerte répercutée par le canal des CERT. Rien non plus du côté
de la mailing list de Fedora, qui est généralement assez réactive aux
alertes de sécurité.
Pour information, une vulnérabilité a été détectée qui peut
s'éxécuter à travers les entêtes des documents .doc dans
OpenOffice.org 1.1.4. L'explication complète de cette vulnérabilité
est ici (en anglais) :
http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2005-04/0150.html
l'issue correspondante est ici :
http://www.openoffice.org/issues/show_bug.cgi?id=46388
Ca, c'est exact. Encore que je ne sois pas en mesure de dire si le
problème a été validé par les développeurs officiels d'OpenOffice.
Après tout, je peux moi aussi rapporter un problème de sécurité sur un
serveur Bugzilla, et proposer ensuite mon propre patch.
Par ailleurs, l'explication complete de la vulnérabilité se trouve sur
un serveur de mailing list, n'apportant aucune garantie sur le contenu des
messages. Cette explication n'est d'ailleurs qu'une copie du rapport
qui est sur le site d'OpenOffice.
Un patch a donc été réalisé que vous pouvez téléchargez ici :
http://?/pub/OpenOffice.org/contrib/rc/1.1.4secpatch/
Comment se fait-il qu'un tel patch ne soit pas distribué directement par
OpenOffice? Comment est géré le répertoire contrib/rc du site
ftp.stardiv.de? Qui peut y déposer des fichiers? Lorsqu'on se connecte
sur ce serveur, on reçoit l'avertissement suivant :
This server was used to provide patches and service packs for
StarOffice. Nowadays this service is provided by
http://supportforum.sun.com
On apprend aussi que le serveur est un Wu-ftpd de version assez ancienne,
alors que ce logiciel a encore connu une alerte de sécurité récente.
Enfin, je trouve bizarre qu'un patch de sécurité concernant un logiciel
libre soit délivré sous forme purement binaire.
Merci de diffuser cette information le plus largement possible autour de
vous.
A mes yeux, cette dernière phrase attire à elle seule la méfiance...
Juqu'ici, je ne l'ai vue que dans des hoaxes ou des virus.
Jusqu'à plus ample information, il est urgent de ne pas installer ce
patch, tant que l'alerte et le patch lui-même ne sont pas authentifiés.
La première mesure préventive à prendre - et la seule jusqu'à plus
ample information est de ne pas ouvrir de documents au format .doc de
provenance douteuse (ce que je faisais déjà, de toutes façons...).
Le patch est daté d'hier. Si c'est sérieux, il arrivera très vite par
les canaux officiels. Il est possible que ce mode de diffusion du patch
et de l'alerte résulte d'un désaccord entre l'auteur de l'alerte et les
développeurs d'OpenOffice concernant la gravité du problème, mais c'est
tout de même une manière d'agir que je qualifierais d'assez
irresponsable, surtout de la part de quelqu'un qui serait motivé par des
considérations de sécurité.
Ben voila :-)
Après tout l'auteur n'a pas tout à fait tord. Peut-être que réserver une
page affectée aux problèmes urgents sur le site officiel OOo (en plus
des appels dans les listes) éviterait ce genre de malentendu. Ce n'est
qu'une suggestion ;-)
Bon surf
Christian
--
Visitez http://christianwtd.free.fr/ pour débuter avec Calc, d'OpenOffice.org
-
To unsubscribe, e-mail: [EMAIL PROTECTED]
For additional commands, e-mail: [EMAIL PROTECTED]
