Depuis cet été, une vague de failles de sécurité touche LibreOffice. Plusieurs rapports ont été ouverts sur le site CVE qui compulse l’ensemble des alertes en informatique. En cause, le module LibreLogo permettant d’avoir un environnement de programmation sous Writer. Développé en Python, il génère depuis août une cascade de correctifs afin d’éviter aux utilisateurs d’ouvrir des documents piégés.
Tout commence avec le CVE-2019-9848. Cette faille permet à un pirate de créer un document malveillant pouvant exécuter silencieusement des commandes sans aucune alerte pour l’utilisateur. La rustine fournie est malheureusement insuffisante puisque d’autres chercheurs en sécurité la contourne et qui génèreront d’autres rapports : CVE-2019-9850 à 52 et CVE-2019-9855.
Rassurez-vous chers lecteurs, OpenOffice n’est pas concerné. Contrairement à ce qu’on peut lire sur les réseaux sociaux, ce n’est pas parce qu’il n’y a pas de nouvelle version chaque trimestre que le ciel va vous tomber sur la tête. Déjà au mois de mars 2019, je vous prouvais que l’exécution de code arbitraire n’était pas possible. Il en va de même avec le reste puisque OpenOffice n’embarque par le fameux LibreLogo dans ses programmes. Vous restez donc en parfaite sécurité.
Je n’ai jamais compris ce que faisait un environnement de développement logo sur LibreOffice…
Si quelqu’un peut m’expliquer.
Ensuite, c’est un peut facile… Difficile de créer des failles de sécurité avec les 50 lignes de codes ajoutées sur la version 4.1.7 d’OpenOffice. Tout logiciel qui évolue, se voit exposé à de nouvelles failles. Ce n’est pas spécifique à LO.
Mais au fait, vous n’auriez pas oublié de préciser que toutes ces failles sont corrigées ?
Maintenant, vous avez raison, pour éviter d’en avoir d’autres, il faut figer le code et corriger celles qui sont découvertes… Au bout de quelques années, ça se calme… C’est le mode de développement suivit par AOO ?
Il y a quelques temps, vous aviez trouvé un gif animé (très drôle) pour illustrer le prétendu désir d’exister de LO face à AOO.
Ce post me donne la même impression, mais avec des rôles inversés.
Ce billet n’est là que pour faire face à l’avalanche de bêtises véhiculées sur les réseaux sociaux où l’on fait passer les failles de l’un pour l’autre.
J’ai bien vu celle que vous avez décrit dans un autre billet, mais je n’en ai pas vu d’autres, en particulier, pas vu qu’on attribuait à OpenOffice des failles liées à la présence du Logo dans LO. Sur quels réseaux sociaux les avez-vous vues ?
C’est donc sur Tweeter que ça se passe. Au delà de la forme, il y a le fond.
Est-il faux de dire que le projet OpenOffice va mal est perd des utilisateurs ?
Est-il faux de dire que le développement d’OpenOffice est quasiment à l’arrêt ?
Est-il faux de dire que des failles de sécurité ne sont pas rapidement corrigées avec OpenOffice ? Etc.
Est-ce TDF qui a dit que la faille dont vous avez fait un billet concernait aussi OpenOffice ?
Je tiens à dire, que pour moi, la meilleure prévention des failles de sécurité, c’est le comportement de l’utilisateur. Mais je ne travaille à la DGST
Vous pensez avoir démontré qu’une faille décrite comme affectant LO et AOO n’affectait en fait que LO. En fait, vous avez simplement montré que vous n’aviez pas réussi en partant de l’exploitation de la faille sous LO à l’exploiter sous OpenOffice. Le composant mis en cause est bien présent dans AOo. Mais peu importe.
Trois failles viennent d’être découvertes avec le protocole OpenSSL. Il suffit de mettre à jour la librairie concernée. C’est choses faites en quelques jours avec LO. Combien de temps avant que ce soit fait chez AOo ? qqs semaine ? qqs mois ?
Pour les réponses en début de message, c’est non à toutes les questions
Le site The register est très clair sur le problème de la faille Python présente sur OpenOffice et LO. Le PoC sur LO ne peut pas être utilisé sur AOO, car AOO ne permet pas le passage d’argument en script.
Cependant l’auteur du PoC dit clairement que ça ne signifie que la faille présente ne puisse pas être exploitée.
« His proof-of-concept exploit doesn’t work with OpenOffice out-of-the-box because the software doesn’t allow parameters to be passed in the same way as the unpatched version of LibreOffice did. However, he says that the path traversal issue can still be abused to execute a local Python file and cause further mischief and damage. »
Conclusions :
- Vous n’avez pas démontré que cette faille n’était pas présente sous AOo. Vous avez simplement confirmé que ce n’était pas la même exploitation.
- Il n’y a pas d’AOO bashing, mais juste des informations, celui qui cherche un peu, complète des informations qui peuvent être partielles.
Question :
Allez vous prévenir les lecteurs de votre Blog de votre Boulette ?
J’en doute
NB je n’ai pas mis le lien car sinon, mon message restera coincé en modération (lien dans le message suivant)
Le lien vers The Register
https://www.theregister.co.uk/2019/02/04/apache_openoffice_no_patch/
Bon, on va arrêter de raconter des bêtises : je maintiens que la faille CVE-2018-16858 ne concerne pas OpenOffice. J’attends d’ailleurs de la part de son auteur Alex Inführ un document prouvant le contraire. A ce jour, ce dernier ne m’a jamais répondu.
A ben si vous le dîtes haut et fort, ça change tout !
A mettre en parallèle de tout ce que vous dîtes haut et fort sur ce Blog…
Si vous n’êtes pas content de ce que j’écris, je vous invite à ne plus venir.
J’avance des faits contrairement à d’autres.
Allez faire un tour ici :
https://twitter.com/insertscript/status/1091324665497337856?lang=fr
Vous avez l’exploitation de la faille sous OpenOffice à la fin
Ça n’a rien avoir avec être content ou pas de ce que vous dîtes. ça a à voir avec des faits. J’ai argumenté :
Vous avez pris l’exploitation de la faille sous LO et vous n’avez pas réussi à la transposer sous AOO. OK
ça prouve simplement qu’on ne peut pas exploiter cette faille de cette façon sous AOO c’est tout… Et c’est d’ailleurs ce qu’il dit. Vous vous seriez éviter un peu de travail en faisant quelques recherches.
Le lien que j’ai donné date du 4 février, votre post du 8 mars… Le second lien montrant son exploitation date du 13 février.
Vous n’êtes pas Dieu-le-père, je ne suis pas surpris qu’il ne daigne pas vous répondre plus que cela. D’autant que le débat est clos pour qui fait quelques recherche….
Tient, ça me rappelle la façon dont on se fait bouller lorsque qu’on pose une question sur un autre forum sans faire un minimum de recherches
Je ne vois pas dans le cui-cui que vous mentionnez la preuve de cet exploit.
A savoir un document qui montre comment lancer un exécutable depuis un hyperlien.
A défaut d’une auréole, achetez-vous une paire de lunette. Une vidéo à la fin montre le lancement de la calculatrice au survol d’un lien. Maintenant oui, le code n’est pas donné la vidéo montre l’exploit.
peut-être que ce n’est pas une bonne idée de diffuser un code d’exploitation de faille d’un logiciel qui n’est pas patché. Peut-être que tweeter n’est pas le lieu. Je ne sais pas.
Après libre à vous de pensez qu’il s’agit d’un complot pour dénigrer Aoo, que Alex et Will Dorman font parti de ce complot, que cette vidéo est un fake…
Ou alors de penser que ce que vous avez essayer de faire était voué à l’échec, comme dit et décrit avant votre tentative, et qu’en suivant les conseils d’Alex, c’est possible, et Dormal l’a fait.
Pour aider au choix, on peut dire qu’aucun dev d’AOO n’a dit que cette faille ne concernait pas Aoo. Ou alors j’ai loupé quelque chose.
Je ne vois pas trop ou est le problème. Une faille est une chose, l’exploit (PoC) de la faille en est une autre.
Ce n’est pas parce qu’un exploit échoue, que la faille disparait, ça signifie juste que n’est pas un moyen d’exploiter la faille. Il y a de nombreux exploits différents pour une même faille, certains demandent des conditions particulières, d’autres marchent à tous les coups.
Échec et Mat cher Bidouille.
Je suis nul en informatique, je ne connais rien à python, pourtant, en 15 minutes, j’ai reproduit l’exploit en suivant ce qui est dit sur le lien que je vous ai donné.
J’ai copié le document d’Alex et collé dans notepad.
J’ai modifié le document comme Alex le dit sur tweeter.
J’ai sauvegardé le document avec l’extension FODT
Ouvert avec LO puis sauvegardé en ODT
J’ai créé un script t.py (un obscur copié-collé d’un truc sur le net. je ne connais rien à python) mis ce script à la racine de C:\
Et j’ai ouvert le fichier odt avec OpenOffice.Au survol de la souris, la calculatrice se lance…
Je vous envoie le fichier quand vous voulez, il sera dans le lien du prochain message
Pierre
PS le script t.py
import subprocess as sp
sp.Popen((« calc.exe »))
Le fichier odt
https://www.dropbox.com/s/6jvaadtga17sk33/test.odt?dl=0
Bilan de cette lamentable discussion :
- Non AOO n’est pas un logiciel sûr. La faille dénoncée dans l’article de ce blog comme n’affectant AOO était une FakeNews.
- Les failles concernant LO dénoncées dans un autre article sont toutes patchées tandis que d’autres subsistent sous AOO. Celles concernant OpenSSL par exemple, celle-là et il y en a d’autres.
- L’auteur a montré son incompétence dans ce domaine. La méthode utilisée pour exploiter cette faille sous AOO était décrite comme nulle par des articles antérieurs au sien, la bonne façon était également décrite et à la portée d’un quidam.
D’autres articles sont particulièrement orientés :
- Les stats de téléchargement ne montrent aucunement la bonne santé d’AOO, au contraire. Une baisse de 60 à 70 % des téléchargements en quelques années, que ce soit sur 3 semaines, un mois ou trois mois.
- Les nouvelles versions d’AOO sont tellement pauvres (une poignée de patchs par an) que dire que c’est une preuve de la vitalité du projet est un mensonge
- Annoncer la présence d’AOO à des éventements, c’est bien, en faire un bilan c’est mieux, car il est arrivé que les devs ne se présentent pas à un événement ou ils étaient annoncés. Il y a aussi tous les événements ou ils ne viennent pas.
Tout cela est factuel, ça n’a rien à voir avec j’aime ou j’aime pas AOO. C’est juste une description claire et objective de la situation
Ca y’est l’ami Pierre s’est fait plaisir. Il a pu balancer toute sa morgue.
Franchement quand tu feras le 1/10 de ce que fait Bidouille pour la Communauté OpenOffice, tu pourras revenir.
Allez bon vent!
@Pierre : l’ODT que vous donnez ne permet pas d’exécuter quoi que ce soit sous OpenOffice 4.1.7 et Windows 7.
Une erreur de script se produit car le passage de paramètre ne peut pas se faire. En voici la copie écran : http://oooforum.free.fr/fichiers/CVE-2018-16858_foireux.png
Tout cela est clairement indiqué dans mon billet et c’est ce qui fait que la faille n’existe pas.
Pour le reste, je laisse les autres lecteurs juger de votre parti-pris à mon égard. Et comme je vous l’ai déjà dit, je vous invite fortement à ne plus revenir déverser votre bile ici.
Errare humanum est, perseverare…
Je viens de faire l’essai sous OpenOffice 4.1.6 et 4.1.7.
Dans les deux cas, je reproduis l’exploit.
Le Pb vient sans doute du script python, en effet lors du copier-coller sur votre Blog la seconde ligne de code a été modifiée en remplaçant les doubles apostrophes par des guillemets et une espace. du coup la calculatrice n’est plus lancée
Autre bizarrerie, au bout d’un certain temps (quelques minutes), ça ne fonctionne plus. j’ai aussi été obligé de désactiver mon anti-virus
Il y a bien un message d’erreur, mais la calculatrice s’est bien lancée. Quelqu’un de plus ardu en programmation pourra sans doute supprimer ce bug
https://www.dropbox.com/s/78f11mv4x2p95ih/clipboard%202.jpg?dl=0
Votre démarche part toujours du même travers. Vous considérez que ça ne marchera pas et effectivement, vous n’y arrivez pas.
Partez du principe que celui qui a découvert la faille dit que ça marche, qu’un autre, sous conduite a reproduit l’exploit et que j’en ai fait de même et que ça marche. Donc ça marche. Le problème, c’est donc vous.
Désolé si c’est blessant ou humiliant, mais c’est vous et vous seul qui avez pris un chemin sans issue sans vous ménager une porte de sortie. Un peu plus d’humilité ne vous ferait pas de mal.
Pour finir, je trouve très bien de votre part de laisser aux lecteurs la liberté de se faire une opinion sur nos échanges. Vous imaginiez qu’il puisse en être autrement ?
Je les invite à faire le test, ça leur prendra moins de 5 minutes.
Le lien pour montrer en vidéo l’exploit
https://www.dropbox.com/s/n1zmb9b8br8wi98/bug2.mp4?dl=0
Comme Bidouille, je ne reproduis pas. Le survol du lien provoque un message d’erreur. Aucune calculatrice à l’horizon.
Je ne sais pas ce que Pierre exécute comme script Python mais moi, je n’ai rien qui s’appelle t.py dans le répertoire share sous OpenOffice 4.
Comme expliqué plus haut, il faut créer et mettre le fichier t.py à la racine de C:\
Si pas de script… Pas d’exécution, c’est lui qui lance la calculatrice.
le script est là :
https://www.dropbox.com/s/ohybct36av0pnxo/t.py?dl=0
Ça n’a aucun sens et c’est du n’importe quoi. La faille est au niveau de Windows si on peut enregistrer des scripts sur l’ordinateur. Ou alors tu prouves qu’avec OpenOffice, on peut mettre ce script à la racine.
Mais mon pauvre Valioud, je n’ai rien à prouver. Faites quelques recherches. Je ne fais que répéter et faire ce que celui qui a découvert la faille dit.
L’auteur dit que la faille existe aussi sous AOO, qu’elle ne s’exploite pas de la même façon, et explique comment le faire.
Donc inutile d’essayer de l’exploiter de cette façon (comme sur ce blog) et de claironner que l’auteur est un crétin qui propage des fake news
Avec ce code, on peut exécuter un script sur C:\. à partir d’un document AOO. Est-ce qu’on peut utiliser un autre emplacement ? oui, je ne vois pas ce qui l’empêche. est-ce que l’on peut le faire sur un chemin UNC ? Je ne sais pas. Essayez et développez le PoC.
C’est déjà assez grave ce que l’on fait là d’expliquer comment exploiter une faille en diffusant le code d’exploitation d’un logiciel vulnérable. Libre à vous d’aller plus loin.
Non, la faille exécute un script fourni dans LibreOffice. Vous déformez la vérité.
1er février
https://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html
« To properly exploit this behavior, we need to find a way to load a python file we have control over and know its location. At first I was investigating the location parameter of the vnd.sun.star.script protocol handler: »
« Vulnerable:
Openoffice: 4.1.6 (latest version)
I reconfirmed via email that I am allowed to publish the details of the vulnerability although openoffice is still unpatched. Openoffice does not allow to pass parameters therefore my PoC does not work but the path traversal can be abused to execute a python script from another location on the local file system. »
C’est bien l’objet du débat initial, ce que dit l’auteur depuis le début. Il n’y a aucune déformation de la vérité
Il n’y a pire sourd que celui qui ne veut entendre.
La faille exécute C:\Program Files\LibreOffice\program\python-core-3.5.5\lib\pydoc.py avec des paramètres.
Ce même script sous OpenOffice ne fonctionne pas et renvoie une erreur.
Vous êtes vraiment les rois de l’enfumage.
A la base, il y a un billet qui fait suite à la publication d’une faille et de son exploit. Les logiciels touchés par cette faille sont les branches 6.0 et 6.1 de LO et AOO.
Un PoC de cette faille est publié pour LO 6.2 (après que la faille soit corrigée pour LO 6.2 et 6.1). Ce PoC utilise le passage d’arguments uniquement disponible sur LO 6.1.
Le billet de la faille explique très clairement que le PoC ne peut être utilisé pour LO 6.0 ou AOO et qu’il doit être modifié. Il est aussi parfaitement expliqué qu’il faut pouvoir placer un fichier python.
Tout cela est antérieur au billet de Bidouille
L’autre façon d’exploiter cette faille fonctionne exactement comme stipulé, il n’y a aucune désinformation sur ce sujet
Pourquoi dès lors essayer d’exploiter cette faille d’une façon dont l’auteur dit que c’est voué à l’échec ?
Pourquoi en conclure que du coup cette faille n’existe pour AOO alors qu’elle a été corrigée sous LO 6.0 ? et d’ajouter, à l’appui de cet échec annoncéqu’AOO est victime d’une campagne de dénigrement ?
Un autre billet nous annonce que LO est bourré de failles liées à la présence du Logo, mais oublie sciemment de dire que ces failles sont corrigées et qu’il en existe d’autre sous AOO qui ne sont pas corrigées.
Les informations apportées sur ce sujet sont mensongères, partielles et partiales.
Oui, « nous » sommes les rois de l’enfumage et « tu » es le seul à détenir la vérité. Allez bon vent!
Franchement si on peut atteindre le système d’exploitation et obliger l’utilisateur à copier un fichier avec les droits suffisants à un endroit précis, je pense que c’est assez grave.
Mais là, on dépasse largement la sécurité sous une suite bureautique quelle qu’elle soit.
+1
La faille est d’abord entre la chaise et le clavier
Ouha le niveau de vanne de Valioud ! je ne l’avais jamais entendue celle-là. Quelle originalité. CPU à 100 % pour sortir un truc pareil ?
Bon, notez bien qu’on ne discute plus de l’existence d’une faille ou, mais de son niveau de dangerosité. (Enfumage)
Je vous rappelle que des le début j’avais dit que la meilleure lutte contre les failles, c’est le comportement de l’utilisateur. La position de repli était prévisible.
Tout ce que vous semblez découvrir est écrit et documenté depuis 10 mois !
La faille est une faille « Directory traversal attack »
https://en.wikipedia.org/wiki/Directory_traversal_attack
ça correspond exactement à ce qui se passe avec AOO. On ne doit pas pouvoir exécuter un code n’importe ou sur le système d’exploitation à partir d’une macro.
La correction de la faille stipule :
« In the fixed versions, the relative directory flaw is fixed, and access is restricted to scripts under the share/Scripts/python, user/Scripts/python sub-directories of the LibreOffice install »
Maintenant est-ce que c’est grave ? Seul un spécialiste de la sécurité informatique peut le dire.
Je me risque à quelques considérations :
Effectivement, si on arrive à placer son propre script sur le système attaqué, on peut penser qu’il est déjà fortement compromis. Mais ce n’est là que pour montrer que la faille existe.
Cela dit, des tas de gens téléchargent à tout-va. C’était l’idée originale d’Alex. Le dossier téléchargement est une bonne cible pour pousser l’utilisateur à y mettre le script voulu.
L’autre approche consiste à faire le tour des scripts python qui font partie des installations de logiciels et à voir comment on peut les exploiter
Il y a un tas de logiciels, qui se baladent avec des scripts python. Lesquels peuvent être utilisés pour aller plus en avant dans compromission du système ?
Par exemple, est-ce que la présence d’un LO par la présence du script python pydoc.py rend vulnérable AOO par l’utilisation de ce script ?
C’est la seconde approche d’Alex
Il y a sur mon disque C, plus de 4200 scripts python qui peuvent tous être lancés par un survol d’un lien sur un document OpenOffice.
Dangereux ?
A noter qu’OpenOffice ne prévient pas de la présence d’une macro dans ce type de document