Multiples vulnérabilités dans LibreOffice

Tous les sujets touchant à la sécurité du système.
Avatar du membre
ZorKas
Messages : 129
Enregistré le : mer. 17 juil. 2019 16:56
Localisation : Mistral gagnant
Contact :

Multiples vulnérabilités dans LibreOffice

Message par ZorKas »

CM Asus M4A785TD-M EVO - Proc.AMD Phenom(tm) II X4 945 Processor × 4- Mémoire 8g°- SSD 240 g° - CG NVIDIA Corporation GK208B [GeForce GT 730] - Moniteur IIyama 24" 1920x1080 - Linux Mint 20 Ulyana - Version Cinnamon 4.6.7 - Noyau Linux 5.4.0.42-generic

Avatar du membre
Jux
Messages : 60
Enregistré le : dim. 23 sept. 2018 13:01

Re: Multiples vulnérabilités dans LibreOffice

Message par Jux »

Salut,

J'espère ne pas être trop hors sujet mais en regardant les versions concernées par ton lien je m'aperçois que mon LibreOffice est encore en 6.0.7.3 alors que le site officiel propose du 6.2.6 pour du stable.

Sachant que LibreOffice était installé de base, pourquoi le gestionnaire de mises à jour ne le gère pas ? Obligé de réinstaller via le site officiel ?
Carte Mère Asus PRIME A320M-K / AMD Ryzen 3 2300X Quad-Core Processor @ 3.5GHz / Crucial DIMM DDR4 8Go x 2 / AMD Radeon RX 570 OC 8Go / SSD Kingston SA400M8 240Go / HDD Maxtor STM332061 320Go x 2
Linux Mint 19.1 Cinnamon kernel 4.15.0-50-generic x86_64

Avatar du membre
tyrry
Messages : 5174
Enregistré le : mar. 21 juil. 2015 07:42
Localisation : à l'ouest

Re: Multiples vulnérabilités dans LibreOffice

Message par tyrry »

Slt ,
non tu as juste à attendre que cette version arrive dans les dépôts , ou voir si tu trouves un PPA ! ;)
@+
Desktop: LXDE Distro: Debian 10.X Buster
Kernel: 4.19.0-9-amd64 SSD:PNY 240 go
CPU: Intel Core i3-3220 RAM: -8 go Graphics Card: Intel HD Graphics

Avatar du membre
Jux
Messages : 60
Enregistré le : dim. 23 sept. 2018 13:01

Re: Multiples vulnérabilités dans LibreOffice

Message par Jux »

Salut et merci de ta réponse Tyrry.

L'article de ZorKas date d'il y a une semaine, et LibreOffice ne s'est pas mis à jour via mintUpdate durant ce laps de temps. Pour les utilisateurs classiques qui ne connaissent pas leur version de LibreOffice cela signifie qu'ils sont potentiellement exposés à des failles de sécurité révélées au grand public depuis une semaine.

C'est moi qui suit trop exigeant ou bien c'est normal et la màj devrait bientôt arriver ?

Pour les PPA j'essaye d'éviter d'en avoir de trop :mrgreen:
Mais pour ceux que ça intéresse : https://doc.ubuntu-fr.org/libreoffice#avec_les_ppa
Carte Mère Asus PRIME A320M-K / AMD Ryzen 3 2300X Quad-Core Processor @ 3.5GHz / Crucial DIMM DDR4 8Go x 2 / AMD Radeon RX 570 OC 8Go / SSD Kingston SA400M8 240Go / HDD Maxtor STM332061 320Go x 2
Linux Mint 19.1 Cinnamon kernel 4.15.0-50-generic x86_64

Avatar du membre
Kif
Messages : 47
Enregistré le : lun. 24 sept. 2018 11:53

Re: Multiples vulnérabilités dans LibreOffice

Message par Kif »

Bonjour,
intéressante cette "révélation" sur Libre office,
en y regardant de plus près, je suis encore avec la version 5.1.6.2 ... ?
je trouve étrange d' en être encore avec cette version !

"non tu as juste à attendre que cette version arrive dans les dépôts"
apparemment, on peut attendre longtemps,
je m' y penche !
à suivre...

zeb
Messages : 16481
Enregistré le : ven. 19 juin 2015 22:13
Localisation : plus ici

Re: Multiples vulnérabilités dans LibreOffice

Message par zeb »

Kif a écrit :
ven. 23 août 2019 10:05
je trouve étrange d' en être encore avec cette version !
Le mieux étant d'installer windows 10, d'aller sur 01.net et de télécharger la dernière version. et hop, tu ne risque plus rien :l :mrgreen:

@ZorKas, c'est bien de faire des copier/coller de liens, mais une petite explication serait quand meme la bienvenue ;)

Perso, je suis a la 5.2.... et ca me va tres bien ;)


Faut arrêter les fixettes avec les failles. Après celle ci s'en en sera une autre a un autre endroit (noyau, logiciel, processeur,...) :mrgreen:
C'est une faille, c'est pas libreoffice qui a fait en sorte qu’automatiquement toutes les données de tous les utilisateurs sont copiées pour etre distribuées.

Conclusion, si je suis touché par cette faille, direct je vais jouer au loto :l

Avatar du membre
Kif
Messages : 47
Enregistré le : lun. 24 sept. 2018 11:53

Re: Multiples vulnérabilités dans LibreOffice

Message par Kif »

Bonjour Zeb,
merci pour votre aide utile,
je laisse tomber !

zeb
Messages : 16481
Enregistré le : ven. 19 juin 2015 22:13
Localisation : plus ici

Re: Multiples vulnérabilités dans LibreOffice

Message par zeb »

Ce n’était pas une aide, mais juste mon avis ;)
Et des avis c'est comme un trou du cul, tout le monde en a un, qu'il soit bon ou mauvais :D

Avatar du membre
ZorKas
Messages : 129
Enregistré le : mer. 17 juil. 2019 16:56
Localisation : Mistral gagnant
Contact :

Re: Multiples vulnérabilités dans LibreOffice

Message par ZorKas »

zeb a écrit :
ven. 23 août 2019 14:57
@ZorKas, c'est bien de faire des copier/coller de liens, mais une petite explication serait quand meme la bienvenue ;)
Hello,

Ok mon général, à vos ordres :!:
CVE-2019-9850

Titre: CVE-2019-9850 Validation insuffisante des URL permettant l'exécution du script LibreLogo

Annoncé: le 15 août 2019

Fixé dans: 6.2.6 / 6.3.0

Description :

LibreOffice est généralement fourni avec LibreLogo, un script graphique vectoriel de tortue programmable, qui peut exécuter des commandes python arbitraires contenues dans le document à partir duquel il est lancé.

LibreOffice a également une fonctionnalité dans laquelle les documents peuvent spécifier que des scripts pré-installés peuvent être exécutés sur différents événements de script de document tels que le survol de la souris, etc.

La protection a été ajoutée, afin de résoudre le problème CVE-2019-9848, afin d'empêcher l'appel de LibreLogo à partir des gestionnaires d'événements de script. Cependant, une vulnérabilité de validation d'URL insuffisante dans LibreOffice permettait aux personnes malveillantes de contourner cette protection et de déclencher à nouveau l'appel de LibreLogo à partir de gestionnaires d'événements de script.

Dans les versions corrigées, les URL de script sont correctement décodées avant validation

Crédits :

Merci à alex (@insertscript) pour avoir signalé ce problème.

-------------------------------------------------

CVE-2019-9851

Titre: CVE-2019-9851 Exécution du script d'événement global LibreLogo

Annoncé: le 15 août 2019

Fixé dans: 6.2.6 / 6.3.0

La description:

LibreOffice est généralement fourni avec LibreLogo, un script graphique vectoriel de tortue programmable, qui peut exécuter des commandes python arbitraires contenues dans le document à partir duquel il est lancé.

La protection a été ajoutée, pour adresser CVE-2019-9848, afin de bloquer l’appel de LibreLogo à partir des gestionnaires de script d’événement de document, par exemple. souris sur. Cependant, LibreOffice possède également une fonctionnalité distincte dans laquelle les documents peuvent spécifier que des scripts pré-installés peuvent être exécutés sur divers événements de script globaux tels que l'ouverture de document, etc.

Dans les versions corrigées, les gestionnaires d’événements de script globaux sont validés de la même manière que les gestionnaires d’événements de script de document.

Crédits:

Merci à Gabriel Masei de 1 & 1 pour avoir découvert et signalé ce problème.

-------------------------------

CVE-2019-9852

Titre: CVE-2019-9852 Défaut de codage d'URL insuffisant lors de la vérification d'emplacement de script autorisé

Annoncé: le 15 août 2019

Fixé dans: 6.2.6 / 6.3.0

La description:

LibreOffice a une fonctionnalité dans laquelle les documents peuvent spécifier que des macros préinstallées peuvent être exécutées sur divers événements de script tels que le survol de la souris, l'ouverture de document, etc.

L'accès est destiné à être limité aux scripts sous les sous-répertoires share / Scripts / python, user / Scripts / python de l'installation de LibreOffice.

La protection a été ajoutée, afin de résoudre le problème CVE-2018-16858, afin d'éviter une attaque de traversée de répertoire dans laquelle des scripts situés à des emplacements arbitraires du système de fichiers pourraient être exécutés. Cependant, cette nouvelle protection pourrait être contournée par une attaque par codage d'URL.

Dans les versions corrigées, l'URL analysée décrivant l'emplacement du script est correctement codée avant tout traitement ultérieur.

Merci à Nils Emmerich de ERNW Research GmbH pour avoir découvert et signalé ce problème.
Après recherche des mises à jour sous Linux Mint 19.2, la version updatée est:

Image

Donc j'attends....
CM Asus M4A785TD-M EVO - Proc.AMD Phenom(tm) II X4 945 Processor × 4- Mémoire 8g°- SSD 240 g° - CG NVIDIA Corporation GK208B [GeForce GT 730] - Moniteur IIyama 24" 1920x1080 - Linux Mint 20 Ulyana - Version Cinnamon 4.6.7 - Noyau Linux 5.4.0.42-generic

zeb
Messages : 16481
Enregistré le : ven. 19 juin 2015 22:13
Localisation : plus ici

Re: Multiples vulnérabilités dans LibreOffice

Message par zeb »

Merci pour ces explications ;)
Donc le vilain petit canard serait LibreLogo ??? on est bien d'accord ??
Donc dans synaptic, j'ai fait une simple recherche, et ca donne ce ci (en image)
Image
Il n'est apparemment pas installé par defaut (je suis sur une installation (libreoffice) d'origine et par défaut, sauf thème)
Alors peut etre que la faute serait aux personnes qui passent par ppas ???

Répondre