S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Les vieilles machines virtuelles Java supprimées automatiquement d'Ubuntu

Pas de kill switch, mais une mise à jour fantôme

Même si la popularité de la distribution Linux Ubuntu semble décroitre, elle est aujourd’hui l’une des plus connues et utilisées. Canonical, qui se tient derrière Ubuntu, a pourtant pris une décision qui pourrait écorner cette popularité : supprimer un paquet logiciel sur un grand nombre de machines. La raison invoquée ? La sécurité.
ubuntu

Le rachat de Sun par Oracle a provoqué de nombreux changements, dont l’un particulièrement important intervenu en aout dernier : la fin de la Distributor License for Java pour les systèmes d’exploitation. En clair, les fournisseurs de systèmes d’exploitation n’avaient plus la possibilité de distribuer eux-mêmes les paquets Java Development Kit (JDK). Oracle souhaite maitriser en effet la distribution de la machine virtuelle Java.

Sur Ubuntu, comme sur d’autres distributions Linux, on trouve la version libre OpenJDK de cette machine virtuelle, mais ses capacités ne sont pas tout à fait les mêmes que celle du JDK classique. De fait, des utilisateurs installent cette dernière depuis plusieurs mois, sans se rendre compte que la dernière révision date du mois d’août et qu’elle n’est plus mise à jour suite au retrait de la Distributor License.

Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fera donc sous la forme d’une mise à jour fantôme, mais la date exacte reste encore à déterminer. Une décision équivalente à celle déjà prise par les  développeurs de Debian.

Ubuntu 11.10 ne contient déjà plus le JDK car cette version est sortie après la décision d’Oracle. Pour les autres cependant, la situation les concerne, et trois moutures du système sont impactées :
  • Ubuntu 10.04 LTS (Lucid Lynx)
  • Ubuntu 10.10 (Maverick Meerkat)
  • Ubuntu 11.04 (Natty Narwhal)
Mais pourquoi un tel nettoyage par le vide ? Marc Deslauriers de chez Canonical explique que la décision n’était pas facile mais qu’elle avait le mérite de répondre à un problème réel. Les failles du JDK étaient déjà exploitées et il n’existait pas de mise à jour. Plutôt que de laisser les failles en place, Canonical a choisi de supprimer un composant jugé désormais comme dangereux. Désormais, il existe deux solutions pour disposer de Java : installer l’OpenJDK depuis le dépôt principal d’Ubuntu, ou installer manuellement le logiciel depuis le site d’Oracle.

Évidemment, la problématique soulevée n’est pas tant celle de la sécurité que de la décision unilatérale de Canonical au sujet du retrait d’un paquet. Les raisons qui ont poussé l’éditeur à procéder ainsi sont compréhensibles, mais certains utilisateurs risquent de ne pas apprécier une décision qui a été prise pour eux. Un comportement plus proche des plateformes mobiles que du PC classique. Mais comme on a pu le voir récemment avec le Windows Store de Windows 8, cette possibilité est inhérente au fonctionnement des dépôts centralisés : le contrôle du dépôt entraîne celui des composants qui s’y trouvent.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Le 19 décembre 2011 à 09:29 (24 553 lectures)

Il y a 214 commentaires

Avatar de ano_635024317595613686 INpactien
ano_635024317595613686 Le lundi 19 décembre 2011 à 13:38:18
Inscrit le vendredi 16 mars 07 - 4152 commentaires
Hoper a écrit :
cette régression est introduite de façon volontaire, ce qui change quand même pas mal de choses.

Ils auraient aussi pu faire un gros doigt à la licence et continuer de distribuer les mises à jour de java dans leur dépots. La oui, canonical serait fortement remonté dans mon estime.


1) Si tu étais resté à la version fournie par Canonical, n'intégrant pas ces propriétarismes, après activation forcément volontaire des dépots proprio, tu serais peinard. Tout ce qui n'est pas dans les dépots libres initiaux etant par définition sujet à caution.
2) Si tu penses que fouler aux pieds une licence fait partie des possibilités, c'est du crétinisme alpin...
3) Tu peux toujours réinstaller à partir d'autres dépots ou de debian Oracle si tu souhaites continuer à utiliser leur JDKaca à titre individuel.

La seule option pour Canonical était de laisser pourrir un truc pas à jour... ce qui au final leur serait retombé dessus.

Y'avait pas de bon choix et la responsabilité initiale en incombe à Oracle: Si tu veux gueler utile, va le faire contre ces gros cons.
Avatar de brazomyna INpactien
brazomyna Le lundi 19 décembre 2011 à 13:38:55
Inscrit le vendredi 7 octobre 11 - 3309 commentaires
Hoper a la verve du troll, mais dans le fond du problème il a globalement raison.

L'attitude de Canaonical est indamissible ; il est évident que les mises à jour automatiques partent du prinicpe qu'elles servent avant tout à corriger des problèmes de sécurité ; en aucun cas c'est son rôle de choisir pour l'utilisateur s'il est pertinent de supprimer une fonctionnalité ou pas !

Canonical aurait dû à minima afficher une popup en début de process de MàJ, laissant le choix à l'utilisateur en expliquant clairement les conséquences de chacun d'eux et le contexte de ce changement. Le reste n'est qu'un pâle remake d'un "ami qui vous veut di bien" avec tout le néfaste que ça implique.

Et qu'on ne me dise pas que le post dans une obscure ML que pas 5% des utilisateurs d'Ubuntu suit réellement régulièrement est une communication suffisante sur le problème. J'ai fait partie des ces couillons qui ont perdu une bonne heure avec cette connerie et j'apprends finalement le fin mot de l'histoire que grâce ... à un article sur PCI lu par hasard. Inadmissible.

Bref, Canonical fait de plus en plus de choix qui me déplaisent. Je restais sous Ubuntu pour mon laptop principal parce que j'estimais que comparé aux Debians que j'utilise partout ailleurs, la compatibilité par défaut avec tout ce qui fait perdre du tout sous nunux (les drivers x, les codecs y, ...) lui donnait un avantage certain.

Si c'est au final pour perdre mon temps à cause de choix arbitraires et faits dans mon dos, mon choix sera très vite fait.


Edité par brazomyna le lundi 19 décembre 2011 à 13:42
Avatar de Freud INpactien
Freud Le lundi 19 décembre 2011 à 13:41:59
Inscrit le vendredi 27 juin 03 - 2639 commentaires
3 choses à noter ici :
  • Hoper a raison depuis le début. Ce n'est pas acceptable de faire passer une suppression d'un logiciel pour une mise à jour.
  • Bordel à prévoir chez pas mal de monde, pour qui "Java est installé et à jour sur votre machine" signifie "Java est installé et à jour sur votre machine", et non "En fait la dernière mise à jour de Java était une fausse mise à jour qui supprimait Java".
  • J'aimerais voir les réactions de pas mal de gens qui abondent dans le sens de Canonical si Microsoft publiait une mise à jour Windows Update qui supprimait Java.


Edité par Freud le lundi 19 décembre 2011 à 13:42
Avatar de ano_635024317595613686 INpactien
ano_635024317595613686 Le lundi 19 décembre 2011 à 13:42:30
Inscrit le vendredi 16 mars 07 - 4152 commentaires
joss17 a écrit :

Que toi tu ne soit pas content avec les dépôts de canonical n'enlève rien aux libertés d'utilisation possible de ton gestionnaire de paquet.


Y'a bien que les particuliers qui laissent les MAJ auto... et c'est eux que cette suppression vise.

Dans un environnement pro, ne pas maitriser le déploiement de ses MAJ (après validation), ce serait de toute manières de la totale incompétence.

Avatar de TaigaIV INpactien
TaigaIV Le lundi 19 décembre 2011 à 13:42:35
Inscrit le mercredi 1 octobre 08 - 9050 commentaires
Commentaire_supprime a écrit :
De toutes façons, Oracle et Sun, pour enculer le monde, ils savent y faire.

Rappelez-vous de la raison pour laquelle on a Libreoffice, par exemple... Qu'ils nous refassent le coup avec la JRE, c'était limite prévisible.

J'ai cru comprendre que Sun avait définitivement arrête cette activité ainsi que l'ensemble des autres au profit d'un oracle qui en aurait une plus grosse (moi qui ai toujours cru que les oracles c'était des filles je peux vous dire que je ne suis pas prêt de me remettre de cette histoire).
Avatar de brazomyna INpactien
brazomyna Le lundi 19 décembre 2011 à 13:45:19
Inscrit le vendredi 7 octobre 11 - 3309 commentaires
yvan78 a écrit :
Y'avait pas de bon choix

1/ Le bon choix c'est toujours d'expliquer aux utilisateurs finaux le contexte et les enjeux et leur laisser le choix de décider ce qui est bon pour eux.

2/ Le mauvais choix c'est de décider qu'une solution unique doit s'imposer à tout le monde et donc être mise en place de façon automatisée, dans le dos des utilisateurs.

Le second, c'est du Apple (on vous impose nos choix et vous perdez en liberté ce que vous gagnez en unicité). Le premier choix, c'est exactement l'inverse. Or la pluralité et la liberté de choix est à l'origine même des concepts rattachés au pingouin.




Edité par brazomyna le lundi 19 décembre 2011 à 13:49
Avatar de Hoper INpactien
Hoper Le lundi 19 décembre 2011 à 13:45:43
Inscrit le lundi 3 juillet 06 - 892 commentaires

Et le ressenti, tu en fait quoi ?

-> Je m'en tape.


Je crois que canonical aussi. C'est pour ça qu'ils se permettent ce genre de chose, pour ça aussi qu'ils ont imposés des changements très important dans les interfaces graphiques etc. Et c'est la raison pour laquelle li y a tant d'utilisateurs qui abandonnent (et abandonneront) la distribution. Encore une fois, ils faudra pas qu'ils se demandent pourquoi cette distrib s'est cassé la gueule après avoir été unanimement reconnue et choisie.
Avatar de ragoutoutou INpactien
ragoutoutou Le lundi 19 décembre 2011 à 13:48:28
Inscrit le mercredi 25 juillet 07 - 4128 commentaires
Si c'est pour perdre mon temps à cause de choix arbitraires et faits dans mon dos, mon choix sera très vite fait.


Sauf que ce n'est pas arbitraire puisqu'il y a une réelle justification au niveau sécurité, et que ce n'est pas derrière ton dos si tu es un utilisateur un peu consciencieux et que tu lis l'information mise à ta disposition.
Avatar de brazomyna INpactien
brazomyna Le lundi 19 décembre 2011 à 13:53:20
Inscrit le vendredi 7 octobre 11 - 3309 commentaires
ragoutoutou a écrit :
Sauf que ce n'est pas arbitraire puisqu'il y a une réelle justification

Arbitraire et justifié n'ont rien à voir. Si tu ne comprends pas la nuance, c'est grave.
Avatar de brokensoul INpactien
brokensoul Le lundi 19 décembre 2011 à 13:53:38
Inscrit le mardi 16 mai 06 - 4166 commentaires
Hoper a écrit :

Ils auraient aussi pu faire un gros doigt à la licence et continuer de distribuer les mises à jour de java dans leur dépots. La oui, canonical serait fortement remonté dans mon estime.

ok, là c'est la différence entre une boîte qui essaie de faire son boulot, et un utilisateur qui propose n'importe quoi... Effectivement avec ce raisonnement tout est simple, je ne comprends pas pourquoi Cannonical n'y a pas pensé
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.