OpenOffice.org 3.0.1 livré avec une version non sûre de Java

Le par  |  6 commentaire(s)
OOo_3-0

Récemment disponible, la dernière mouture 3.0.1 d'OpenOffice.org embarque une version périmée de Java.

OOo_3 0La suite bureautique libre OpenOffice.org est proposée au téléchargement avec au choix l'inclusion de Java. Dans ce cas de figure, problème pour la version 3.0.1 d'OOo publiée la semaine dernière, avec une version de l'environnement d'exécution de Sun Microsystems qui n'assure plus les garanties d'une protection optimale en matière de sécurité informatique. Une version tout simplement périmée comme l'a constaté Brian Krebs dans un article en ligne de The Whashington Post.

En l'occurrence, il s'agit de Java 6 Update 7 qui est affecté par des vulnérabilités corrigées dans les mises à jour ultérieures et qui peuvent être exploitées par un attaquent distant. Krebs souligne par ailleurs que cette mouture de Java datant du printemps dernier n'est pas dotée d'une fonctionnalité introduite plus tard par Sun et empêchant les sites Web d'invoquer même les anciennes versions de Java présentes sur la machine.


Pas le cas pour Linux
Etrangement, nous avons constaté qu'effectivement OpenOffice.org 3.0.1 avec Java inclus propose Java 6 Update 7. C'est du moins le cas pour Windows car sous Linux c'est Java 6 Update 11 qui est proposé. La dernière version de Java publiée par Sun est quant à elle estampillée 6 Update 12 mais n'apporte par rapport à la mise jour 11 aucun correctif de sécurité.

D'autre part, rien ne semble légitimer sous Windows le choix de Java 6 Update 7 avec OOo 3.0.1, la suite s'avérant pleinement fonctionnelle avec les versions plus récentes de Java.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #410271
C'est le problème quand on préfère utiliser les librairies statiques locales plutôt que celles du système... A moins qu'elle ne soit installé seulement si Java n'est pas présent dans la machine.
Le #410281
Java se met à jour tout "seul" sur windows avec l'icône orange dans le task.

Pour linux la version de java dépende souvent des dépôts de la distrib'.
Anonyme
Le #410291
gandalf79 +1

si java est installé et supérieur à la version de openoffice, ce dernier n'installe rien...
encore un avantage du systeme de paquet sous linux... cela dit, belle erreur de la part des dev openoffice... j'aimerais bien savoir le pourquoi du comment

à leur décharge, c'est pas à eux de gérer les maj de java... et il me semble que sous windows, java est doté de maj auto non?
Le #410371
gandalf79 le soucis c'est que java update ne désinstalle pas l'ancienne version.

D'un coté ça permet de ne pas "casser" certains programmes qui n'utilisent que cette ancienne version ( http://java.com/fr/download/faq/remove_olderversions.xml ) mais d'un autre côté ça maintiens dans ton système du code vulnérable.

Donc OpenOffice.org venant avec du code vulnérable est objectivement une mauvaise chose, et ça n'a pas échappé au PSI ( secunia ) qui tournait en tâche de fond.
Le #410471
Hal >"si java est installé et supérieur à la version de openoffice, ce dernier n'installe rien.. encore un avantage du systeme de paquet sous linux."
C'est pas une limitation de Windows du tout. Il existe bon nombre de logiciels Java tournant sous Windows se servant de la version installée sur le système et demandant de l'upgrader si nécessaire. Idem pour les autre comme le .NET framework 3.5 d'ailleur.

Au passage, ils le savent très bien puisqu'ils proposent une version sans Java http://fr.openoffice.org/about-downloads.html
Anonyme
Le #410741
@Luchy

soit j'ai pas compris, soit tu ne m'as pas compris...

sous linux, java se met a jour indépendament de openoffice, et ne s'installe pas avec openoffice. sous windows, si t'as une vieille version de java, elle est remplacée par celle que propose openoffice, sinon elle n'y touche pas. ce cas de figure n'arrive pas sous linux...

je crois qu'on s'est pas compris
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]