OpenOffice verspreidt onveilige Java-versie

Gepubliceerd: Donderdag 5 februari 2009

Met de laatste versie van OpenOffice wordt een oude, lekke versie van Java meegeleverd. Kwaadwillenden kunnen zo oude Java-gaten opnieuw misbruiken.

Toon volledig artikel

cono op Donderdag 5 Februari 2009 15:50

Bij de laatste release kandidaat bleek dat de installatie van de versie met JRE fout ging door een bug in JRE 6.11 . Helaas. Daarom is op het allerlaatste moment terug gegaan naar een vorige versie.
Zie http://de.openoffice.org/issues/show_bug.cgi?id=98257 en
http://www.openoffice.org/servlets/ReadMsg?list=releases&msgNo=13187

In 3.1 wordt wel weer de meest actuele versie mee geleverd. (Even er van uitgaande dat het dan goed gaat. Maar meestal is het geen probleem.)

Er zijn overigens ook versies zonder JRE beschikbaar.

9 / 11

Kickass op Vrijdag 6 Februari 2009 00:29

Bij het downloaden van Openoffice kan je aangeven of je java erbij wilt of niet.

Mijn is opgevallen dat openoffice prima werkt op een machine zonder java. (getest op windows bak zonder java)

1 / 1

JanW op Vrijdag 6 Februari 2009 01:04

Daarom is op het allerlaatste moment terug gegaan naar een vorige versie.
Een onveilige versie, helaas.

Slechte zaak, hoor. :-/
Er zijn overigens ook versies zonder JRE beschikbaar.
Misschien hadden ze dan alleen maar een versie moeten aanbieden zónder JRE. Of de update langer moeten uitstellen. Lijken me betere alternatieven dan dit gerommel...

Niet dat ik OO.org er een seconde minder om gebruik, trouwens. :-)

4 / 6

yamada op Donderdag 5 Februari 2009 15:52

ja hallo...open is gewoon open...en gratis...niet ouwehoeren he..

-15 / 21

Iskander op Donderdag 5 Februari 2009 17:11

Inmiddels is Java-ontwikkelaar Sun al beland bij versie 6 update 12. Heb je daar een link van dan, ik kom nl niet verder dan
versie 6 update 11.

0 / 4

Anonymous Coward op Donderdag 5 Februari 2009 19:58

java.sun.com/ja...loads/index.jsp
eerst ff controleren voordat je roept !

4 / 4

Kickass op Vrijdag 6 Februari 2009 00:32

en ook wel fijn om te weten, vanaf update12 win 64bit browser support! (dus je win 64bit Minefield browser kan ermee overweg).

1 / 1

Anonymous Coward op Donderdag 5 Februari 2009 19:59

Heb je daar een link vanjava.sun.com/ja...loads/index.jsp.

Wat ik storend vind is dat OpenOffice.org hier op de website niet voor waarschuwt. Dat je een last minute beslissing neemt om een oude JRE mee te leveren is tot daar aan toe, maar licht de mensen er over in.

Edit: Kabal is me net een minuut voor :)

8 / 8

Kaiser Söze op Donderdag 5 Februari 2009 21:00

Hopla, daar gaat weer een mantra het raam uit! Dit is zo'n grove fout dat je het bijna crapware mag noemen...

-5 / 19

NULL op Donderdag 5 Februari 2009 21:16

Ach kom, je kunt in de winkel gewoon Windows-versies kopen waarvan je weet dat je eigenlijk eerst bergen updates moet installeren alvorens het apparaat aan internet te hangen.

2 / 16

Chrissie op Vrijdag 6 Februari 2009 00:17

Maar dan krijg je ook updates.
Bij Openoffice is de lekke versie de meest huidige versie.

2 / 16

Kickass op Vrijdag 6 Februari 2009 00:36

lekker huilen noob....

-9 / 13

Anonymous Coward op Donderdag 5 Februari 2009 21:17

Zucht... Daar gaat het laatste beetje illusie dat met jouw te discuteren is. Het is een slordige fout, maar een product op basis van een stukje meegeleverde software crapware noemen is te ridicuul.

7 / 17

Kaiser Söze op Donderdag 5 Februari 2009 23:42

Ach ja, het is open source software, dus we dekken het maar met de mantel der liefde af. Opvallend he? Maar 8 reacties in deze draad, terwijl de gemiddelde discussie over de kwaliteit van Windows altijd goed is voor minstens 200+ reacties. Het is blijkbaar een erg ongemakkelijke boodschap in dit nieuwsbericht. Die miljoenen open source programmeurs waar Diogenes_Isher het altijd lyrisch over heeft zaten zeker even collectief uit het raam te kijken. Slordige fout? Nee, een brevet van onvermogen...

1 / 17

Kickass op Vrijdag 6 Februari 2009 00:38

of winusers halen hier hun info, en openoffice users niet hier?
Zomaar idee hoor. java = geen openoffice, en openoffice is geen java, sterker nog je kan openoffice zonder java gebruiken. Dus huilen...
Lekker belangrijk ook, die uitspraken van win evangelisten. ;-P

-7 / 11

FreeStyler op Vrijdag 6 Februari 2009 09:53

goh, lekker typische reacties hier, de Open Source community op z'n best!!! Het valt me nog mee dat de discussie nog niet zo verdraaid is dat het de schuld van Microsoft, Vista of IE is.

pffff... grow up!

3 / 11

webabun op Vrijdag 6 Februari 2009 11:18

Ach ja, het is open source software, dus we dekken het maar met de mantel der liefde af.
Leuk gevonden.
<NOFI>
Maar zou het ook niet zo kunnen zijn dat gebruikers van OOo wat eerder de weg (moeten) weten in het vinden, installeren en bijhouden van patches, updates en pleisters ?
</NOFI>

0 / 2

Anonymous Coward op Vrijdag 6 Februari 2009 19:39

Je gejammer over hoe unfair het is dat iedereen zo zit te fitten of het arme Microsoft is bespottelijk. Het marktaandeel van Microsoft maakt dat veel meer mensen er een mening over hebben. Dat je Microsoft zielig vindt is ridicuul voorbij.

Nee, een brevet van onvermogen...Een brevet van onvermogen voor het gebruiken van gezond verstand misschien. Jammer, dat je het weigert.

2 / 4

Anonymous Coward op Zaterdag 7 Februari 2009 13:40

maar weer leg je de nadruk op Microsoft terwijl er hier sprake is van een duidelijk geval van nalatigheid in zeer serieuze vorm bij open source.
Ook hier weer de vraag, waarom ontken jij telkens dit type problemen en draai je weer naar Microsoft. Ik begrijp best dat MS het grote voorbeeld is maar juist op dit soort problemen moet je zelf de zaak grondig aanpakken. Dat aanpakken begint echter pas bij het erkennen van een probleem. In die zin heb ik dus erg weinig vertrouwen in open source fans en het verschijnsel veiligheid.
Wonen in een stenen huis maakt de kans op brand een stuk kleiner maar onachtzaamheid doet dat volledig teniet.

En dan mag je Windows best met een houten huis vergelijken waarin de bewoners zich heel goed van het brandgevaar bewust zijn en daar goed op letten.
In dat laatste huis woon je net zo veilig.

-2 / 2

Anonymous Coward op Zaterdag 7 Februari 2009 15:55

Iets eerder in de discussie heb ik het volgende gemeld:
Wat ik storend vind is dat OpenOffice.org hier op de website niet voor waarschuwt. Dat je een last minute beslissing neemt om een oude JRE mee te leveren is tot daar aan toe, maar licht de mensen er over in.Maar goed, als jij vind dat ik het probleem ontken... prima.

Keizer Saus degint een jeremiade over hoe zielig het wel is dat de *nux Taliban altijd zo op de zielepoot Microsoft zit te vitten. Elke OSS of Microsoft topic kom ik bijna wel een boehoe reactie van hem tegen.

In dat laatste huis woon je net zo veilig.Leuke analogie. Het doet me denken aan een ander sprookje. nl.wikipedia.or..._drie_biggetjes

1 / 3

Kaiser Söze op Zondag 8 Februari 2009 22:52

In die zin heb ik dus erg weinig vertrouwen in open source fans en het verschijnsel veiligheid.

Exact de spijker op z'n kop! Iedereen roept "veilig" want "open source", terwijl de realiteit anders is. Bij ernstige problemen blijkt niemand verantwoordelijk, en open source blijkt ook synoniem te kunnen zijn voor amateuristisch gestuntel.

0 / 2

Simon B. op Vrijdag 6 Februari 2009 09:05

Wat mij nog niet duidelijk is, is wat er nu eigenlijk lek zou zijn aan die JRE 6 update 7. Die mag dan een jaar oud zijn, maar dat zegt nog niet alles. Weet iemand of er na die versie concrete veiligheidsgaten zijn gedicht?

Overigens wordt bij een JRE standaard Java Update geïnstalleerd, die regelmatig checkt op nieuwe versies. Ook als de door OpenOffice.org geïnstalleerde JRE nog de enige is op het systeem ben je zo binnen de kortste keren weer up to date.

Op de downloadpagina van nl.openoffice.org staat inmiddels een verwijzing naar een pagina waarop je kunt checken of je al java hebt, zodat je niet de versie van OpenOffice.org met JRE hoeft te downloaden, en eentje naar een pagina waarop je de nieuwste versie van de JRE kunt vinden om afzonderlijk te downloaden.

4 / 6

MvO op Vrijdag 6 Februari 2009 11:48

Bij de release notes van JRE 6 Update 12 staat dat onder andere een "SSLServerSocket file descriptor leak" gedicht is. Secunia.com geeft aan dat in Java 6 in het afgelopen jaar 5 lekken gevonden zijn, waarvan 4 highly critical. Dus JRE 6 Update 7 bevat inderdaad wat lekken die je liever niet hebt.

4 / 4

bokkie20000 op Vrijdag 6 Februari 2009 11:34

Omdat ik al Java op mijn pc heb staan ga ik echt niet elke keer een release met Java downloaden en installeren :-) dus het is alleen een probleem als je Oo voor het eerst installeert en er nog geen Java aanwezig is.

Ik wist trouwens (serieus) niet dat Java een oudere versie zomaar over een nieuwere versie schrijft, weten jullie daar meer over?

3 / 3

Anonymous Coward op Vrijdag 6 Februari 2009 12:10

dus het is alleen een probleem als je Oo voor het eerst installeert en er nog geen Java aanwezig is.

Iets wat natuurlijk vele miljoenen keren per jaar gebeurt.
Ik heb zelf net nog OOo 3 op Windows 7 geinstalleerd

-1 / 3

bokkie20000 op Vrijdag 6 Februari 2009 12:30

Ja daar heb dan natuurlijk wel weer gelijk in maar Java wordt natuurlijk voor meer gebruikt en geinstalleerd dan alleen Openoffice.
Het verbaast me dan zowieso dat je zonder problemen een oudere versie van Java over een nieuwere versie kunt gooien (dat begrijp ik althans uit het artikel).

2 / 2

NLsandman op Vrijdag 6 Februari 2009 19:08

Dat zit er sinds korte tijd in, dat was mij ook nog niet opgevallen, bij een java update deinstalleer ik altijd de oude maar nu gaat dat dus automatisch.
Java doet dit nu zo omdat ondanks een nieuwe versie de oude versie nog aangesproken zou kunnen worden.

0 / 0

7Penselen op Vrijdag 6 Februari 2009 11:42

OpenOffice.org (OOo) is open source en gratis, het werkt probleemloos, maar een mooi stukje programmeer werk is het niet echt. Het meeleveren van een lekke verouderde Java is echt een regelrechte blunder. Ik vraag me af of OOo nu met een nieuwe versie uitkomt, maar deze bug verholpen is en ook eventuele andere kleinde bugs verholpen zijn. Dit mag je wel van OOo verwachten.