Avis de sécurité Apache du 13 août 2022
Apache vient de corriger la faille dans le vecteur d’initialisation statique qui permettait de récupérer les mots de passe pour les connexions Web sans connaître le mot de passe principal. Cette vulnérabilité CVE-2022-37100 pouvait porter atteinte à la confidentialité des données de l’utilisateur, sa correction est effective à partir de la version Apache OpenOffice 4.1.13
La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information. La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel chiffré (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges.
Apache OpenOffice prend en charge le stockage des mots de passe pour les connexions Web dans la base de données de configuration de l’utilisateur. Les mots de passe stockés sont cryptés avec une seule clé principale fournie par l’utilisateur. Une faille dans OpenOffice existait où le vecteur d’initialisation requis pour le chiffrement était toujours le même, ce qui affaiblit la sécurité du chiffrement, ce qui les rend vulnérables si un attaquant a accès aux données de configuration de l’utilisateur. (Sources)
Multiples vulnérabilités dans Apache OpenOffice. De multiples vulnérabilités ont été découvertes dans Apache OpenOffice. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données. (Sources)