Faille de sécurité dans LibreOffice : CVE-2020-12801

Bonjour,

Une faille de sécurité a été corrigée dans LibreOffice. Elle affecte toutes les versions antérieures à LibreOffice 6.3.6 dans la branche 6.3 et LibreOffice 6.4.3 dans la branche 6.4.

La faille CVE-2020-12801 est expliquée ici : https://www.libreoffice.org/about-us/security/advisories/cve-2020-12801/
Elle concerne le traitement des fichiers MSOffice (docx, xlsx, pptx, etc.) protégés par mot de passe en cas de plantage de LibreOffice.

Conclusion : mettez à jour votre installation de LibreOffice si ce n'est pas déjà fait.
Pour savoir quelle version vous avez : menu Aide > À propos de LibreOffice.

Bonne journée
JBF

Bonjour

pour moi en 6.4.3 par de mise à jour proposée.

Bonjour,

Bonjour,

Une faille de sécurité a été corrigée dans LibreOffice. Elle affecte toutes les versions antérieures à LibreOffice 6.3.6 dans la branche 6.3 et LibreOffice 6.4.3 dans la branche 6.4.

La faille CVE-2020-12801 est expliquée ici : https://www.libreoffice.org/about-us/security/advisories/cve-2020-12801/
Elle concerne le traitement des fichiers MSOffice (docx, xlsx, pptx, etc.) protégés par mot de passe en cas de plantage de LibreOffice.

Conclusion : mettez à jour votre installation de LibreOffice si ce n'est pas déjà fait.
Pour savoir quelle version vous avez : menu Aide > À propos de LibreOffice.

Bonne journée
JBF

Bonjour

pour moi en 6.4.3 par de mise à jour proposée.

Normal, ta version est à jour. Elle contient le correctif qui va bien.
Cela dit la 6.4.4 est prévue pour cette semaine : https://wiki.documentfoundation.org/ReleasePlan#6.4_release

Bonne journée
JBF

Bonjour.
Je suis sous Ubuntu, les mises à jour de LibreOffice se font via canonnical. Actuellement la version installé est la 6.0.7.3.
Est-ce que je suis concerné par cette faille ?

Bonne journée.
D. Reina

Bonjour,

Bonjour.
Je suis sous Ubuntu, les mises à jour de LibreOffice se font via canonnical. Actuellement la version installé est la 6.0.7.3.
Est-ce que je suis concerné par cette faille ?

A priori oui, tant que Canonical ne produit pas une version 6.0.8 contenant le correctif, s'il est possible de rétro-porter le correctif des branches 6.3 et 6.4.

La dangerosité de la faille dépend de votre utilisation de fichier MSOffice protégés par mot de passe.

Vous avez plusieurs options pour éviter de lâcher par inadvertance des données confidentielles dans la nature :
1/ utiliser le format OpenDocument
2/ installer une version à jour. Sous Ubuntu 18.04 vous pouvez le faire de plusieurs manières si vous êtes administrateur de votre ordinateur : via le PPA, via snap ou en installant une des 2 versions fournies par le projet LibreOffice.

Bonne journée
JBF

Bonjour Domingo ,

C'est curieux car je suis sur kubuntu 18.4, et mon libre office est en 6.4.3.2 mise à jour aussi par canonical !
Quelle version de Ubuntu as-tu ?

Bonne journée,
Patrick

Je parie pour la version snap. La version au format DEB d'Ubuntu 18.04 est bien la 6.0.7.

Bonne journée
JBF

Je ne sais pas ce qu'est la version snap, mais j'ai bien installé la version "par défaut" (au format DEB). Plus exactement j'ai la version 18.04 LTS (je sais qu'elle a un autre nom mais je ne me souviens plus lequel)
Bonne journée
Domingo

<div dir="auto">Bjr,<div>Pourquoi dans le répertoire snap il y a 2 sous rep nommé chez moi 176 et 177 ?&nbsp;</div><div>Quelle est leur utilité ?&nbsp;</div><div>C'est idem pour d'autres logiciels sous snap</div><div>Merci</div><div>Je sais plus une question ubuntu que libreoffice&nbsp;</div><div>Merci et bon après midi&nbsp;<br>Envoyé par moi</div></div><div style="line-height:1.5"><br><br>-------- Message original --------<br>De : Domingo REINA &lt;domingo.reina@ac-lyon.fr&gt;<br>Date : mar. 19 mai 2020 à 16:12<br>À : users@fr.libreoffice.org<br>Objet : Re: [fr-users] Faille de sécurité dans LibreOffice : CVE-2020-12801<br><blockquote>Je ne sais pas ce qu'est la version snap, mais j'ai bien installé la <br>version "par défaut" (au format DEB). Plus exactement j'ai la version <br>18.04 LTS (je sais qu'elle a un autre nom mais je ne me souviens plus <br>lequel)<br>Bonne journée<br>Domingo<br><br>Le 19/05/2020 à 15:16, Jean-Baptiste Faure a écrit :<br>&gt; Le 19/05/2020 à 12:07, Patrick Charlot a écrit :<br>&gt;&gt; Bonjour Domingo ,<br>&gt;&gt;<br>&gt;&gt; C'est curieux car je suis sur kubuntu 18.4, et mon libre office est en <br>&gt;&gt; 6.4.3.2 mise à jour aussi par canonical !<br>&gt; <br>&gt; Je parie pour la version snap. La version au format DEB d'Ubuntu 18.04 <br>&gt; est bien la 6.0.7.<br>&gt; <br>&gt; Bonne journée<br>&gt; JBF<br>&gt; <br><br>-- <br>Envoyez un mail à users+unsubscribe@fr.libreoffice.org pour vous désinscrire<br>Les archives de la liste sont disponibles à https://listarchives.libreoffice.org/fr/users/<br>Privacy Policy: https://www.documentfoundation.org/privacy<br></blockquote></div>

bjr

excuse, je ne me souvenais plus de ne pas envoyer de mail via mon smartphone...

Bonsoir à toutes et tous,

Moi, j'ai la version : 6.0.7.3 de LibreOffice et je suis sous LinuxMint
19.1, je n'ai jamais mis à jour, L.O., moi-même, quelle version dois-je
installer pour avoir une version stable, comment dois-je m'y prendre :
il y a tellement d'explications que je ne comprends pas, par exemple :

2/ installer une version à jour. Sous Ubuntu 18.04

vous pouvez le faire de plusieurs manières si vous êtes administrateur
de votre ordinateur : via le PPA, via snap ou en installant une des 2
versions fournies par le projet LibreOffice.<<<<<<<<<<<<<<<<<<<

En allant sur internet, j'ai trouvé le site :
https://fr.libreoffice.org/download/telecharger-libreoffice/

pour l'installation de L.O. 6.3.6 sous LinuxMint il est demandé si je
suis sous Linux (64bit) (deb) ou Linux (64bit) (rpm) comment savoir ?

D'autre part, j'enregistre toujours mes documents au format ODT.

J'aurais vraiment besoin de votre aide et d'explications plus à la
portée d'une novice comme moi.

Par avance merci. Portez-vous bien et prenez soin de vous.

Liliane HURAY

Bonjour Liliane,

Bonsoir à toutes et tous,

Moi, j'ai la version : 6.0.7.3 de LibreOffice et je suis sous LinuxMint
19.1, je n'ai jamais mis à jour, L.O., moi-même, quelle version dois-je
installer pour avoir une version stable, comment dois-je m'y prendre :

Si tu ne maîtrises pas les différents modes d'installation de logiciels sur ton ordinateur, et si tu ne reçois pas très souvent pour modification des documents MSOffice protégés par mot de passe, je te conseille plutôt de faire confiance à ta distribution Linux et d'attendre patiemment qu'elle te propose une mise à jour de LibreOffice avec un correctif.
À moins que tu aies vraiment envie d'apprendre tout ça, je pense que le risque lié à cette faille dans LibreOffice est moins grand que celui de mettre le bazar dans ton ordinateur à cause des erreurs que l'on commet souvent quand on apprend.

En attendant une telle mise à jour, il faut faire attention de vérifier qu'un document que tu envoies à quelqu'un et qui est censé être protégé par un mot de passe, l'est bien au moment où tu l'envoies.

Et si tu as la possibilité d'éviter les fichiers MSOffice c'est encore plus sûr.

Bonne journée
JBF

Bonjour,
Le risque c'est simplement d'avoir un système jamais mis à jour ! Linux étant assez simple à installer, il faut le mettre à jour régulièrement.
Bob

Je n'ai pas écrit qu'il ne faut pas mettre à jour, juste qu'il est préférable dans ce cas de laisser faire les mises à jour de la distribution.
Après, si la distribution ne propose pas de mise à jour, il faut peut-être se poser la question de la qualité et de la fiabilité de cette distribution là.

JBF

Bonsoir à toute l'équipe et bonsoir plus précisément à Jean-Baptiste

En fait, je ne savais pas trop si la version : 6.0.7.3 avait encore des
mises à jour, je me posais la question depuis un bon moment, en ce qui
me concerne elle me convient tout à fait.
De plus, je ne reçois pas de documents MSOffice protégés par mot de
passe mais, cela peut m'arriver un jour.
Bon, en tout cas, me voilà rassurée, merci Jean-Baptiste.
Je fais régulièrement les mises à jour proposées par ma distribution. Je
n'ai peut-être pas fait attention mais j'ai peut-être déjà reçu des
mises à jour pour L.O. : à l'avenir, je regarderai plus en détail les
mises à jour qui me seront proposées.
C'est vrai que j'aimerais bien être le plus autonome possible avec mon
ordinateur : c'est le temps qui me manque pour en consacrer plus à
l'informatique , aussi, je ne me hasarde pas à faire n'importe quoi, je
me dis que c'est plus prudent.

Encore une question : comment reconnaît-on  un document MSOffice, j'ai
une petite idée, mais pas forcément la bonne ? je vais vraiment passer
pour une ignare dans le domaine.

Encore merci de m'avoir répondu.

Amicalement et bonne fin de journée.

Liliane

Bonjour Liliane,

[...]
Encore une question : comment reconnaît-on  un document MSOffice, j'ai
une petite idée, mais pas forcément la bonne ? je vais vraiment passer
pour une ignare dans le domaine.

Ce sont les fichiers avec l'une des extensions suivantes : .docx, .xslx, .pptx, .ppsx, .doc, .xls, .ppt, .pps

Bonne journée
JBF

Bonsoir,

Sous Fedora 30, j'ai la version 6.2.8.2 de LibreOffice:
Ai-je des "risques"?

Anne-Sophie.

----- Mail original -----

Bonsoir,

Bonsoir,

Sous Fedora 30, j'ai la version 6.2.8.2 de LibreOffice:
Ai-je des "risques"?

À moins que RedHat ait fait un rétroportage du correctif de la version 6.3.6, la réponse est : oui, cette version 6.2.8 ne contient pas le correctif.
La version 32 de Fedora a été publiée le 28 avril, j'imagine qu'elle fournit une version plus récente de LibreOffice.

Cela dit, il faut évaluer le risque dans son cas personnel : cette faille ne concerne que les fichiers MSOffice que l'on doit modifier et qui sont protégés par mot de passe . Et en plus il faut que LibreOffice plante pendant l'édition du fichier en question...

Bonne soirée
JBF

Bonjour
je confirmeFedora a ce trés gros avantage de proposer rapidement les
mises à jour de LibreOffice. La version 30 date d'il y a un an. Les
paquets n'y sont plus mis à jour (dernière version libo
6.2.8.2)Dernière version proposée automatiquement par un update sous
Fedora 31: 6.3.6.2sous Fedora 32 : 6.4.3.2Le passage de la version 30 à
la 32 peut se faire facilement et sans problème
https://doc.fedora-fr.org/wiki/Mise_à_niveau_de_Fedora#M.C3.A9thode_officielleLe
plus long là dedans c'est le redémarrage pour installation....
Par ailleurs, quelle que soit la version de Fedora, tu peux utiliser
une version snap aussi. La dernière version dispo est proposée (6.4).
mais ce serait mieux donc de mettre à jour de Fedora 30 à 32
Claire