Snel update.... Maar je mag pas na 3 maanden je bug bekend maken.

Aan de andere kant.... gelukkig auto update mechanisme..... auw..wacht even... Die is er op Windows niet.

trouwens wel een hele lullig bug. Die had er natuurlijk nooit in mogen zitten. Gelukkig kan iedereen de code zien.... Maar niemand snapt de code waarschijnlijk. Want niemand had deze fix nog gevonden of was het ooit opgevallen.

Nu maar hopen dat iedere gebruiker snel zijn versie handmatig update.....

Merkwaardig dat daarvan tot op heden geen melding is gemaakt in de LibreOffice security advisories [1], en voor 6.1.4 tevens niet in de Document Foundation blog [2] [3].
Wel is voor 6.0.7 en 6.1.3 een (ongespecificeerde) security patch vermeld in de Document Foundation blog [4].
Mogelijk is de kwetsbaarheid al gepatched in 6.1.3, en niet pas in 6.1.4?

[1] https://www.libreoffice.org/about-us/security/advisories/
[2] https://blog.documentfoundation.org/?s=security
[3] https://blog.documentfoundation.org/blog/2018/12/18/libreoffice-6-1-4-announced/
[4] https://blog.documentfoundation.org/blog/2018/11/05/libreoffice-6-0-7-and-6-1-3/

Ik kan alleen maar 6.1.4 downloaden

In Manjaro Linux is de 6.1.4-2 update al op 23 januari aangeboden via het eigen update systeem, heb 'm dezelfde dag nog geinstalleerd.

Handmatig updaten? Wat draai je voor een achterhaald besturingssysteem? Windows of zoiets? Bij een modern besturingssysteem wordt de update automatisch aangeboden door de package manager. Je hoeft er niets 'handmatigs' voor te doen.

Omg, Daar heb je haar ook weer, onze wellus nietus kleuters zijn weer van de partij hoor.

Wat bedoel je precies?
Het is me niet duidelijk wat je bedoelt.

Naast 6.1.4 is ook 6.0.7 nog beschikbaar, zie:
https://www.libreoffice.org/download/download/

Bedoel je met "Ik kan alleen maar 6.1.4 downloaden" dat niet de in het artikel genoemde 6.1.4.2 aangeboden wordt?
De aangeboden 6.1.4 is 6.1.4.2.
2 was het release candidate nummer. Zodra die versie aangeboden wordt als release versie, wordt dat nummer niet meer weergegeven bij download. Na installatie van 6.1.4 zie je dat het 6.1.4.2 is.

Zou je om een of andere reden een oudere - N.B. niet meer ondersteunde, en ongepatchte! - versie nodig hebben, oude versies zijn nog beschikbaar in het LibreOffice download archive, zoals vermeld onderaan de download pagina:
"Older versions of LibreOffice (may be unsupported!) are available in the archive"
https://downloadarchive.documentfoundation.org/libreoffice/old/

Nog steeds pas na maanden. En OO heeft nog steeds geen update beschikbaar. Ze waren toch altijd zo snel hoor ik iedere keer hier? iedereen kan code zien, sneller updates, transparant...


Misschien een wakeup call... Aangezien je de wereld alleen vanuit je eigenkamer ziet. De wereld is een stuk groter...... Modern is ook maar een definitie.... Kan je er nu ook moderne games goed op spelen? Of is de grafische kaart ondersteuning nog steeds niet optimaal. Maar dat zal wel weer aan de fabrikanten liggen.

Daarnaast, bijna alle producten die tegenwoord draaien op Windows hebben automatische update mogelijkheden. Blijkbaar is dat iets te complex voor LO om dit te maken. Lekker moderne software, dat geen auto update mogelijkheden ingebakken zit.

troll account tegen The FOSS. Leuk bedacht met een 0 in je naam. Kleuter gedrag noemen we dat toch?

In Debian zit een versie van bijna 2 jaar oud 5.2.7.2, je weet wel zo'n OS met een automatische package manager.


LibreOffice Version: 5.2.7.2

Distributor ID: Debian
Description: Debian GNU/Linux 9.7 (stretch)
Release: 9.7
Codename: stretch

https://downloadarchive.documentfoundation.org/libreoffice/old/5.2.7.2/deb/x86_64/

Of is Debian geen modern OS?

The Foss vond dat ook leuk toen zoiets 'tegen' Karma4 ingezet werd. De echte kleuters hier zijn natuurlijk bekend.

Je zult niemand horen zeggen dat ze met Apache OpenOffice vlot zijn met updaten.
LIbreOffice krijgt elke maand updates, maar Apache OpenOffice wordt na de uittocht naar LibreOffice al jaren nauwelijks meer onderhouden.

Ha, inmiddels vermelden de LibreOffice security advisories nu:
Addressed in LibreOffice 6.0.7/6.1.3
CVE-2018-16858 Directory traversal flaw in script execution
https://www.libreoffice.org/about-us/security/advisories/
https://www.libreoffice.org/about-us/security/advisories/cve-2018-16858/

Zoals ik al vermoedde, CVE-2018-16858 is al gepatched in 6.0.7 en 6.1.3, niet pas in 6.1.4.
 

Blijft staan dat er minimaal 3 maanden lang een ernstig lek dat bekend was heeft open gestaan zonder gebruikers te informeren. Waarschijnlijk heeft die fout vanaf het begin er al in gezeten. Een gebrek aan containerisatie doemeinen .
Als dat met een andere leverancier was gebeurd zou de teller van post hoe erg dat wel niet is ellenlang zijn.

...

Debian (Stable) patcht zelf de huidige (dus oudere) versie van softwarepakketten die ze aanbieden. Versienummers lopen dus niet synchroon met de door de ontwikkelaar aangeboden nieuwe versies en kunnen dus niet zomaar worden gebruikt om te bepalen of een pakket is gepatcht of niet. Kijk anders even op de Debian pagina en scroll naar het kopje Security Advisories: https://www.debian.org/. Klik op een advisory en zie in welke Debian versie van het pakket het probleem is opgelost.


Haar? Waarom denk je dat ik een vrouw ben, The F0SS? En het is geen wellus-nietus, het is een feit dat het updaten van softwarepakketten als Libreoffice onder Windows niet automatisch en onder bv. Linux wel automatisch verloopt (via een gestandaardiseerd update mechanisme).

Dat is vervelend als versienummers uit sync lopen per Linux distributie, dat snap je zelf toch ook wel? Zeker als er CVE's afgegeven worden met de melding dat V x.y.z een lek heeft.

Manmanman, altijd als door een bij gestoken als er ook maar E E N letter kritisch is over Linux.

Jammer dat gewacht is te publiceren in de de LibreOffice security advisories. Wellicht was dat om de Apache OpenOffice ontwikkelaars meer tijd te gunnen, maar de LibreOffice gebruikers zijn niet goed bediend met die late security advisory.
Wel is in de Document Foundation blog al op 5 november 2018 gemeld dat 6.0.7 en 6.1.3 een security patch bevatten, het is dus niet zo dat de LibreOffice gebruikers in het geheel niet geïnformeerd werden.
https://blog.documentfoundation.org/blog/2018/11/05/libreoffice-6-0-7-and-6-1-3/

Andere keren klagen dat mensen zelf baas over hun systeem willen zijn en bepalen of en wanneer ze updaten.

Een advies had kunnen zijn om een kritische plekken geen phyton scripting actief te hebben. Lijkt me voor eenvoudige tekst /spreadsheets niet slim. Wil je meer geavanceerde analyses dan zou ik eerst de informatieanalyse willen zien.

Een desktop inzetten met gevoelige bigdata analyse dan wel beleidskeuzes advisering zonder fall-back transparantie is niet goed. Heb je plugins nodig omdat het niet in de standaard cots oplossing zit dan heb je een ander iets, nog steeds niet goed.

Jazeker wel, Spiff!
Maar dat laat onverlet dat dit probleem ook nog steeds is gepatcht in Libreoffice 6.1.4.2 ... c(; ))

Zeker wel. Het is een modern OS dat stabiliteit prioriteit geeft boven the latest & greatest, maar het is toch mogelijk om bijvoorbeeld met LibreOffice een actuele versie te gebruiken. Ik leg het uit.

Bij Debian betekent stable dat er geen functionele wijzigingen worden doorgevoerd tot de volgende major release. Je zal dus in de stable-repository al snel zien dat de versies gaan achterlopen bij de bron, want nieuwe versies bevatten vaak functionele wijzigingen. Maar wat Debian wél doet is security-patches uit die nieuwere versies overnemen in de versie die ze voeren. Je gebruikt dus een oudere versie van de software die toch bij is qua security.

Je kan ook kiezen om unstable of testing te gebruiken, waarbij unstable zonder garanties komt maar in de praktijk nog vaak zo degelijk is als menige andere distro, en testing de plek waar software die stabiel genoeg is bevonden wordt verzameld om de volgende stable-release te vormen. In unstable krijg je security upgrades door als de pakketbeheerder die doorvoert, in testing en stable wordt het door een securityteam verzorgd dat in mijn ervaring van 19 jaar als Debian-gebruiker er altijd goed bovenop heeft gezeten.

En als je het beste van verschillende werelden wilt, een stabiele basis en toch actuele versies van populaire pakketten, dan is er de backports-repository waarin pakketten uit (meestal) testing of (incidenteel) unstable voor stable geschikt worden gemaakt. Daar kan je LibreOffice ook in vinden, versie 6.1.5. Of je een pakket uit backports haalt in plaats van uit stable moet je overigens per pakket regelen, het is niet zo dat de hele backports-repository "voordringt" boven stable. (En omdat de vorige stable-release nog een jaar of bij LTS-releases minsens 5 jaar wordt ondersteund is er voor elke ondersteunde stable een eigen backports).

Daarmee heb je een behoorlijke speelruimte als gebruiker om Debian zo voor je kiezen te krijgen als je het graag hebben wilt. Ik ben een overtuigde stable-gebruiker met enkele pakketten uit backports. Dat levert me een heerlijk stabiel en probleemloos systeem op, met goede security-upgrades en zonder de ergernis van verouderde software voor die pakketten waar dat ertoe doet, en dat zijn er in de praktijk niet veel.

In Open Office 4 de map Python maar geheel naar de prullenbak?
Heb ik gedaan, de OpenOffice Writer blijft werken.

LibreOffice zoekt standaard* automatisch iedere keer bij het openen naar updates. Je slaat de plank volledig mis.

*uiteraard heb ik ook LibreOffice geblokt in de firewall, waarom zou die online moeten kunnen?

Open Office 4.1.6. Dit misschien ook nuttig? Laatste wijziging 25 januari 2019:

https://cwiki.apache.org/confluence/display/OOOUSERS/AOO+4.1.6+Release+Notes#AOO4.1.6ReleaseNotes-ForWindowsUsers

Uiteraard :-)
Alex Inführ vermeldde in zijn blogposting dat het probleem opgelost bleek in de door hem geteste versies 6.0.7 en 6.1.4.2.
Als, zoals nu inmiddels bekend is, gepatched is in 6.1.3, dan is het ook in de door Alex Inführ geteste 6.1.4.2 gepatched. (Dit soort 'vanzelfsprekendheden' altijd onder het voorbehoud dat niemand een stomme regressie veroorzaakt.)

Taal... Automatisch aangeboden houdt in (dat is in ieder geval zo in te stellen) dat je zelf bepaalt of je die automatische updates geheel automatisch laat doorvoeren, of alleen automatisch downloaden, of alleen een melding dat er updates zijn. Je kan met Linux dus zelf bepalen in hoeverre jij de 'baas wil zijn' over je eigen systeem. Dit in tegenstelling tot Microsoft Windows, waar dit voor je bepaald wordt door Microsoft en jij je maar hebt aan te passen aan wat zij wijsheid vinden. Met automatische reboots gedurende bedrijfskritisch werk tot gevolg.

Je weet hopelijk ook dat daar prima tooltjes voor Windows voor beschikbaar zijn?

Jammer dat er weer zo'n evangelist is die een anderman z'n systeem onderuit haalt en zelf helemaal niks snapt.

Ik begrijp anders heel goed waar hij het over heeft. Als je zowel met Windows 10 als met een Linux distro zou werken dan zou je ook merken dat veel zaken bij Linux distros beter geregeld zijn.

En dan niet een beetje, of iets, maar echt veel beter, stabieler, voorspelbaarder. En dat al decennia !

Misschien wel het belangrijkste "betere" is dat de *NIX distributies (*Linux/*BSD) de programmatuur van vele verschillende ontwikkelaars uitbrengen via één (of enkele) goed opgezet veilig kanaal waarbij integratie en voorkoming van onwenselijke/kwalijke toevoegingen redelijk te borgen zijn. Dat kan omdat de distributies de broncode van de programmatuur als uitgangspunt hebben; met binaries kan dat niet. Free Open Source heeft inherente voordelen, zeker met het oog op de veiligheid.

Linux werkt op zich prima en in veel dingen veiliger dan Windows. Maar om echt voet aan de grond te krijgen zullen ze toch meer hardwareleveranciers mee moeten krijgen (updatsoftware voor camera´s en lenzen bv) en vooral het noodzakelijk gebruik van de Terminal moeten minimaliseren.
De doorsnee computer gebruiker heeft allang geen behoefte meer om vanaf een command line te werken, dat is iets van 30-40 jaar geleden.

Mijn grote ergernis op dat vlak is dat fabrikanten vaak al lang een generieke, OS-onafhankelijke ondersteuning hebben op technisch niveau maar doen alsof ze dat niet hebben.

Voor de apparaten die ik heb die firmware-upgrades ondersteunen geldt dat de firmware-image op ofwel een geheugenkaartje ofwel op het ingebouwde flash-geheugen geplaatst moet worden. Het zijn altijd FAT-filesystemen (nieuwere apparaten gebruiken wellicht exFAT) die gewoon vanaf elke desktopcomputer aangekoppeld kunnen worden. De feitelijke firmware-upgrade wordt door het apparaat zelf gedaan. Het ene apparaat moet je herstarten en pakt de firmware-image dan op, bij het andere apparaat moet je via de user interface van het apparaat zelf de upgrade starten. Maar het is het apparaat zelf dat het feitelijke werk doet, zonder enige afhankelijkheid van een desktop-OS.

Er zitten apparaten bij, bijvoorbeeld handheld GPS-ontvangers van Garmin, waarbij de leverancier kennelijk per se wil dat je hun software ervoor gebruikt. Alleen doet die software niets anders dan een firmware-image op het apparaat zetten en je de opdracht geven het ding af te koppelen en te herstarten. Garmin gaat zo ver om de downloadlocatie van de firmware niet zichtbaar te publiceren (al staat die wel ergens in het HTML-commentaar van een webpagina) en om klanten die geen Windows of Mac gebruiken te vertellen dat die geen ondersteuning krijgen.

Alleen is alle software om het te laten werken gewoon standaard aanwezig in elk desktop-besturingssysteem. Die ondersteunen USB storage, die hebben een bestandsbeheerprogramma waarmee je bestanden op de juiste plaats kan zetten, die hebben een webbrowser waarmee je de firmware kan downloaden. Het enige dat ontbreekt is een korte beschrijving van wat er gebeuren moet, een alinea tekst zou voldoende zijn, en een hyperlink naar de firmware.

Over Garmin kan ik ironisch genoeg zelfs melden dat de procedure die ze niet willen ondersteunen betrouwbaarder is dan hun eigen software. Ik doe het op Linux met de hand, een vriend van me die hetzelfde apparaat heeft gebruikt Windows en de software van Garmin, en bij hem zijn firmware-upgrades al meerdere keren mislukt (wat resulteert in een reboot-loop op het apparaat die voortduurt tot je handmatige herstelacties doet) terwijl het bij mij altijd goed is gegaan. Dat de actie nog hersteld kan worden is omdat het apparaat zelf de integriteit van de firmware controleert, ook daar is de desktop-software niet voor nodig, en bij fouten de installatie met een reboot afbreekt (zonder de foute firmware te verwijderen zodat een reboot-loop ontstaat).

Die fabrikanten hoeven geen software voor weinig gebruikte besturingssystemen te maken. Ze moeten erkennen dat hun apparaten zelf helemaal niet afhankelijk zijn van welk OS klanten op hun desktop/laptop gebruiken en eens het fatsoen opbrengen om die betalende klanten van de informatie te voorzien die ze nodig hebben om het zonder speciale software te kunnen. Iets wat de apparaten zelf al lang en breed kunnen, alleen de beschrijving ontbreekt.

Je weet hopelijk toch dat dergelijke tooltjes zonder goede gecentraliseerde repositories waaruit de software wordt geladen een pleistertje voor het bloeden zijn? Knullig plakwerk bovenop de variëteit aan installers die er voor Windows worden gebruikt om software te installeren. Rommelig, inaccuraat, amateuristisch. Die 'uitstekende' tooltjes bedoel je? Zeker nog nooit met een Linux package manager gewerkt? Een goed ontworpen structurele en robuuste Linux package manager met goede centraal beheerde repositories vergelijken met knullige hackwerk tooltjes onder Windows. Gutteguttegut...


Dat ben ik met je eens. En het is ook de reden dat ik nog een oude computer met Windows 10 in gebruik heb. Firmware voor camera en telefoon updaten.


Noodzakelijk gebruik van de terminal? Dat is al lang niet meer nodig! Mijn 80+ ouders draaien Linux, denk je dat zij iets met de terminal doen? Nee, want dat is allang niet meer nodig.

Dat.neemt niet weg dat de terminal voor de Linux adept wel erg handig kan zijn. Bijvoorbeeld om op afstand het Linux systeem van je ouders te beheren. Maar dat valt onder gevorderd en optioneel gebruik.

Geklets, als er een OS dat veel verschillende hardware ondersteund is het .... Linux.
Goede kans dat producenten die net doen alsof een product niet door Linux wordt ondersteund, Linux op het apparaat zelf gebruiken. Door ondersteuning van Linux te ontkennen, tegen te gaan, proberen ze de markt te segmenteren en (her)bruikbaarheid van het product te voorkomen. Een mooie kreet voor dit verschijnsel is "anti-feature" of "crippleware" (zie de Engelstalige Wikipedia).

Geklets. Veel wordt ondersteund, maar vaak niet door de leverancier of met minder funtionaliteit. Maar ook veel wordt gewoon door leveranciers NIET ondersteund. En dat heeft gewoon een paar simple redenen. Er is zo goed als geen vraag naar, Te veel variatie in distributie mogelijkheden en afhankelijkheden, te weinig markt aandeel.
Ondersteuning kost gewoon veel geld, en daar draait het toch vaak om. Linux op de desktop aandeel is gewoon nog klein. Te klein om ondersteuning te geven.

En al zouden ze het zelf intern gebruiken. Ondersteunen aan gebruikers is een hele andere. Dat is duur heel duur. Gebruikers die er niets van snappen. Je kan iets voor gebruikers niet half ondersteunen...

Of dat goed of fout is, maakt niet uit. Een bedrijf moet winst maken om te overleven en dan moeten er keuzes gemaakt worden.

Lees de reactie van gisteren 09:39 eens. Bedenk dat het een antwoord was op een opmerking die niet over hardwaredrivers op OS-niveau ging maar om dingen als firmware-upgrades voor apparaten die je met een USB-kabeltje aan je pc kan koppelen. Dergelijke dingen kunnen makkelijk totaal OS-onafhankelijk worden ingericht en zijn dat in veel gevallen ook.

Er is geen enkel bezwaar om voor Windows- en Mac-gebruikers de procedure die je ook zonder speciale software kan uitvoeren nog eens extra te automatiseren, en dat is wat die software nu ook doet, maar laat die fabrikanten ook gewoon de OS-onafhankelijke procedure beschrijven zodat ze al hun klanten ondersteunen.

Bedenk dat ook klanten die niet Windows of Apple gebruiken gewoon voor hun apparaten betaald hebben. OS-onafhankelijke firmware-upgrades bieden is niets meer of minder dan alle klanten de ondersteuning geven waar ze voor betaald hebben. En daarvoor is het niet nodig om elk afzonderlijk OS te ondersteunen, je mag van mensen vragen dat ze het OS waar ze voor kiezen ook leren te gebruiken.

Ik stel me er zoiets bij voor:
Met zo'n soort tekst ondersteunen ze alle klanten die een USB-stick weten te gebruiken, en ze hoeven er geen letter software voor te schrijven. Kan je me één goede reden geven waarom een fabrikant dat niet zou doen?

http://downloadarchive.documentfoundation.org/libreoffice/old/

Voor krap 5 % van de gebruikers kun je niet altijd software ontwikkelen en up to date houden.
Kip en het ei, gewoon te klein net als Windows 10 op de telefoon.
Hopelijk groeit het aantal gewone computer gebruikers die overstappen naar Linux, maar ik ben bang veel te weiig.

Het punt is dat die hele software bij veel apparaten niet nodig is. Het werkt ook zonder die software, en als er apparaten zijn waarbij het echt niet zonder die software kan dan zijn er andere apparaten die aantonen dat dat niet op die manier hoeft (en het is zelfs een beter ontwerp als dat soort afhankelijkheden geminimaliseerd worden). Je hebt het dan over iets dat voor 100% van de gebruikers werkt zonder dat er software voor hoeft te worden geschreven.

Misschien illustreer je zelf wel wat het probleem is. Zelfs als je wordt uitgelegd dat er helemaal geen software ontwikkeld hoeft te worden om het te ondersteunen dan nog lukt het je niet om het op die manier te zien. Ik ben iets dergelijks in een vroegere baan tegengekomen toen bleek dat mensen uit de hoek van klantrelaties zo sterk in termen van browsermarktaandeel dachten dat ik ze elke paar maanden opnieuw uit moest leggen dat er 100% marktaandeel te bereiken was door webstandaards als uitgangspunt te nemen voor de website. Dezelfde mensen. Het muntje leek te vallen en telkens bleken ze het een paar maanden later weer helemaal kwijt te zijn. Alsof het niet in hun wereldbeeld past.

Dankjewel, Cor.
Wellicht heb je over het hoofd gezien dat ik in mijn reactie van 02-02, 10:01 uur al verwees naar het download archive.
Daarnaast vroeg ik in die reactie tevens:
Jammer genoeg heeft Anoniem van 01-02, 21:38 uur, niet meer verduidelijkt wat die bedoelde, en of die geholpen was met mijn reactie.

Wat hij bedoelt te zeggen is dat het updatemechanisme binnen Windows tekort schiet. Onder Linux wordt met een update meteen alle software die erbij geïnstalleerd is meegenomen. Bij Windows wordt alleen het systeem en alle Microsoft-producten voorzien van een update. Alle overige programma's moet je handmatig bijwerken per programma. Dat is achterhaald, maar ook tijdrovend en bijna niet meer uit te leggen in 2019. Dus in dat opzicht geef ik hem hierin wel gelijk.