Bonjour � tous,
J'ai post� sur fr.comp.applications.bureautique le message de Sophie concernant un probl�me de vuln�rabilit�. Et voici l'int�gralit� d'un message de retour. Heureusement 2 courriers de d�mentis ont suivis.
ATTENTION, il est possible qu'il s'agisse d'un cheval de Troyes, lisez attentivement ce qui suit avant toute action!
On Tue, 12 Apr 2005 22:13:43 +0200, Christianwtd wrote:
>> Je vous transmet un message d'OpenOffice.org:
Pouvez vous dire � quel titre vous recevez des alertes de s�curit� d'OpenOffice.org? Je ne vois m�me pas trace de cette alerte dans la mailing liste officielle d'OpenOffice.org. Je n'ai pas non plus encore vu cette alerte r�percut�e par le canal des CERT. Rien non plus du c�t� de la mailing list de Fedora, qui est g�n�ralement assez r�active aux alertes de s�curit�.
>> Pour information, une vuln�rabilit� a �t� d�tect�e qui peut
>> s'�x�cuter � travers les ent�tes des documents .doc dans
>> OpenOffice.org 1.1.4. L'explication compl�te de cette vuln�rabilit�
>> est ici (en anglais) :
>> http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2005-04/0150.html
>> l'issue correspondante est ici :
>> http://www.openoffice.org/issues/show_bug.cgi?id=46388
Ca, c'est exact. Encore que je ne sois pas en mesure de dire si le probl�me a �t� valid� par les d�veloppeurs officiels d'OpenOffice. Apr�s tout, je peux moi aussi rapporter un probl�me de s�curit� sur un serveur Bugzilla, et proposer ensuite mon propre patch.
Par ailleurs, "l'explication complete de la vuln�rabilit�" se trouve sur un serveur de mailing list, n'apportant aucune garantie sur le contenu des messages. Cette "explication" n'est d'ailleurs qu'une copie du rapport qui est sur le site d'OpenOffice.
>> Un patch a donc �t� r�alis� que vous pouvez t�l�chargez ici : >> http://"?/pub/OpenOffice.org/contrib/rc/1.1.4secpatch/
Comment se fait-il qu'un tel patch ne soit pas distribu� directement par OpenOffice? Comment est g�r� le r�pertoire "contrib/rc" du site ftp.stardiv.de? Qui peut y d�poser des fichiers? Lorsqu'on se connecte sur ce serveur, on re�oit l'avertissement suivant : This server was used to provide patches and service packs for StarOffice. Nowadays this service is provided by http://supportforum.sun.com
On apprend aussi que le serveur est un Wu-ftpd de version assez ancienne, alors que ce logiciel a encore connu une alerte de s�curit� r�cente.
Enfin, je trouve bizarre qu'un patch de s�curit� concernant un logiciel libre soit d�livr� sous forme purement binaire.
>> Merci de diffuser cette information le plus largement possible autour de >> vous.
A mes yeux, cette derni�re phrase attire � elle seule la m�fiance... Juqu'ici, je ne l'ai vue que dans des hoaxes ou des virus.
Jusqu'� plus ample information, il est urgent de ne pas installer ce patch, tant que l'alerte et le patch lui-m�me ne sont pas authentifi�s. La premi�re mesure pr�ventive � prendre - et la seule jusqu'� plus ample information est de ne pas ouvrir de documents au format .doc de provenance douteuse (ce que je faisais d�j�, de toutes fa�ons...).
Le patch est dat� d'hier. Si c'est s�rieux, il arrivera tr�s vite par les canaux officiels. Il est possible que ce mode de diffusion du patch et de l'alerte r�sulte d'un d�saccord entre l'auteur de l'alerte et les d�veloppeurs d'OpenOffice concernant la gravit� du probl�me, mais c'est tout de m�me une mani�re d'agir que je qualifierais d'assez irresponsable, surtout de la part de quelqu'un qui serait motiv� par des consid�rations de s�curit�.
Ben voila :-)
Apr�s tout l'auteur n'a pas tout � fait tord. Peut-�tre que r�server une page affect�e aux probl�mes urgents sur le site officiel OOo (en plus des appels dans les listes) �viterait ce genre de malentendu. Ce n'est qu'une suggestion ;-)
Bon surf Christian
-- Visitez http://christianwtd.free.fr/ pour d�buter avec Calc, d'OpenOffice.org
--------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
