Archive pour la catégorie ‘LibreOffice’

CVE-2018-16858 : OpenOffice non concerné

Vendredi 8 mars 2019

Il y a quelques semaines, une preuve de concept était publiée depuis un blogue autrichien. L’article stipule qu’il serait possible depuis un ODT d’exécuter du code malicieux. Une vidéo floue montre qu’un document ouvert sous LibreOffice 6.1.2 exécute la calculatrice au simple survol d’un hyperlien. Cela sans afficher le moindre avertissement.

La faille serait fixée avec les versions Libreoffice 6.1.4 et 6.0.7 mais l’auteur précise que OpenOffice 4.1.6 serait lui-aussi vulnérable.

Testons alors le fameux document suivant les explications données dans l’article. J’ai copié collé le code et l’ait sauvegardé en FODT. Ce format qui signifie Flat ODT n’est pas normalisé, il a été conçu pour les besoins des développeurs afin de faciliter le débogage de OpenOffice puis plus tard, de LibreOffice. A ce jour, OpenOffice ne sait pas l’importer. L’article indique donc de l’ouvrir sous LibreOffice et de l’enregistrer en ODT. Voilà ! Nous aurions alors maintenant, un document piégé capable de lancer des exécutables à notre insu.

Ouvrons ce document sous OpenOffice et voyons si cela se produit…
Animation

Et bien non, une erreur de script s’affiche et rien ne se passe. OpenOffice n’est donc pas concerné.

PS : bien sûr, le code fourni dans le billet du blogue n’est pas adapté car il pointe sur un Python 3.5.5 spécifique à LibreOffice. J’ai donc modifié le fichier avec la version 2.7.6 embarquée dans OpenOffice.

Source : h**ps://insert-script.blogspot.com/2019/02/libreoffice-cve-2018-16858-remote-code.html

LibreOffice publie… des pin’s

Lundi 10 décembre 2018

A la mode dans les années 80, le pin’s est de retour dans la Communauté LibreOffice.
Pin's LibO

On notera la phrase laconique : merci aux donations.

Peut-on dire que l’argent est bien employé ?

IBM rachète RedHat

Mardi 30 octobre 2018

34 milliards de dollars, c’est la note que va régler Big Blue pour l’éditeur de la célèbre distribution Linux éponyme. Avec une prise d’effet prévue durant le 1er semestre 2019, IBM compte devenir un acteur majeur de la scène « hébergement dans le nuage ».

RedHat est aussi un contributeur pour LibreOffice avec pas moins de 4 développeurs. Tandis qu’IBM reste un adepte de OpenOffice depuis l’arrêt de sa suite Lotus Symphony. Il reste donc à voir si cette opération aura des répercussions sur les deux projets.

LibreOfficeForum.org ferme ses portes

Mercredi 25 mai 2016

Lancé en 2010 suite à la fourche LibreOffice, ce forum n’aura jamais été officialisé. Son auteur vient de décider d’arrêter sa maintenance. Raison technique invoquée : la fin du logiciel Drupal 6 sur lequel s’appuie le site et la difficulté de migration vers la version 7.

LibreOfficeForum.org fermera ses portes d’ici à deux semaines. Ni fleur, ni couronne.

Open365… Rien que du déjà vu

Mercredi 27 avril 2016

L’article paru sur le blogue de Korben parle d’une application bureautique à la G**gleDoc mais ce n’est pas le cas. Open365 n’est pas, contrairement à ce qui est écrit, basé sur LibreOffice Online. Il s’agit uniquement d’un émulateur d’application accessible dans un navigateur. Le même genre de solution existe avec RollApp depuis… 2012. Bref, rien de neuf sous le soleil.

Rappelons que LOOL (abréviation du projet LibreOffice On Line) est une suite bureautique dont le client est entièrement écrit en Javascript et HTML 5. Ce dernier n’a donc besoin d’aucun greffon pour fonctionner dans un navigateur. Des applications du même type existent avec Microsoft et son OneDrive, Google ou Zoho. Lancé en 2011 puis abandonné en 2013, LOOL était revenu à la vie en 2015.  Mais la version stable qui devait être proposée en début d’année, se fait toujours attendre.