S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Les vieilles machines virtuelles Java supprimées automatiquement d'Ubuntu

Pas de kill switch, mais une mise à jour fantôme

Même si la popularité de la distribution Linux Ubuntu semble décroitre, elle est aujourd’hui l’une des plus connues et utilisées. Canonical, qui se tient derrière Ubuntu, a pourtant pris une décision qui pourrait écorner cette popularité : supprimer un paquet logiciel sur un grand nombre de machines. La raison invoquée ? La sécurité.

ubuntu

Le rachat de Sun par Oracle a provoqué de nombreux changements, dont l’un particulièrement important intervenu en aout dernier : la fin de la Distributor License for Java pour les systèmes d’exploitation. En clair, les fournisseurs de systèmes d’exploitation n’avaient plus la possibilité de distribuer eux-mêmes les paquets Java Development Kit (JDK). Oracle souhaite maitriser en effet la distribution de la machine virtuelle Java.

Sur Ubuntu, comme sur d’autres distributions Linux, on trouve la version libre OpenJDK de cette machine virtuelle, mais ses capacités ne sont pas tout à fait les mêmes que celle du JDK classique. De fait, des utilisateurs installent cette dernière depuis plusieurs mois, sans se rendre compte que la dernière révision date du mois d’août et qu’elle n’est plus mise à jour suite au retrait de la Distributor License.

Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fera donc sous la forme d’une mise à jour fantôme, mais la date exacte reste encore à déterminer. Une décision équivalente à celle déjà prise par les  développeurs de Debian.

Ubuntu 11.10 ne contient déjà plus le JDK car cette version est sortie après la décision d’Oracle. Pour les autres cependant, la situation les concerne, et trois moutures du système sont impactées :
  • Ubuntu 10.04 LTS (Lucid Lynx)
  • Ubuntu 10.10 (Maverick Meerkat)
  • Ubuntu 11.04 (Natty Narwhal)
Mais pourquoi un tel nettoyage par le vide ? Marc Deslauriers de chez Canonical explique que la décision n’était pas facile mais qu’elle avait le mérite de répondre à un problème réel. Les failles du JDK étaient déjà exploitées et il n’existait pas de mise à jour. Plutôt que de laisser les failles en place, Canonical a choisi de supprimer un composant jugé désormais comme dangereux. Désormais, il existe deux solutions pour disposer de Java : installer l’OpenJDK depuis le dépôt principal d’Ubuntu, ou installer manuellement le logiciel depuis le site d’Oracle.

Évidemment, la problématique soulevée n’est pas tant celle de la sécurité que de la décision unilatérale de Canonical au sujet du retrait d’un paquet. Les raisons qui ont poussé l’éditeur à procéder ainsi sont compréhensibles, mais certains utilisateurs risquent de ne pas apprécier une décision qui a été prise pour eux. Un comportement plus proche des plateformes mobiles que du PC classique. Mais comme on a pu le voir récemment avec le Windows Store de Windows 8, cette possibilité est inhérente au fonctionnement des dépôts centralisés : le contrôle du dépôt entraîne celui des composants qui s’y trouvent.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/12/2011 à 09:29

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 214 commentaires

Avatar de Gromsempai INpactien
Gromsempai Le lundi 19 décembre 2011 à 09:40:51
Inscrit le jeudi 12 mai 05 - 1125 commentaires
Avec du recul les gens vont peut être comprendre que c'est pour leur bien.

Oracle est plus à blâmer que Canonical dans cette histoire je trouve. S'ils laissaient les éditeurs distribuer un JDK à jour ça éviterait ce genre de mésaventure.
Avatar de Plokta INpactien
Plokta Le lundi 19 décembre 2011 à 09:41:40
Inscrit le lundi 30 avril 07 - 98 commentaires
>>Même si la popularité de la distribution Linux Ubuntu semble décroitre

décroitre décroite.. Chez moi sur les logs de mon site j'ai 15 % Mint et 85 % Ubuntu. Il y a encore pas mal de travail pour détrôner le roi Ubuntu.
C'est combien chez PCI ?
Avatar de lorinc INpactien
lorinc Le lundi 19 décembre 2011 à 09:43:47
Inscrit le lundi 19 avril 04 - 11222 commentaires
Oui, donc la suppression n'est pas automatique, puisqu'il faut faire la mise à jour pour que le paquet soit supprimer. Bref, c'est exactement comme d'habitude. Lors du passage de XFree à Xorg (ubuntu n'existait pas), XFree a été supprimé automatiquement pour être ramplacer par Xorg Oui bon, en fait, il n'était plus dans les dépôt et en acceptant la mise à jour il a été remplacé par l'autre. C'est le fonctionnement normal d'un dépôt de l'ogiciel.

Quand la niouze est sortie sur /. il s'est passé la même chose : "omg ils suppriment des logiciels de mon ordinateur sans me demander", et en fait non. La vérité est que je supprime moi même des logiciels de mon ordinateur sur recommandation du gestionnaire de paquets.

Enfin, une side note pour info : l'openjdk est l'implantation de référence de Java depuis quelques temps déjà...

Edité par lorinc le lundi 19 décembre 2011 à 09:44
Avatar de ano_635024317595613686 INpactien
ano_635024317595613686 Le lundi 19 décembre 2011 à 09:48:25
Inscrit le vendredi 16 mars 07 - 4152 commentaires
Canonical fait pour le mieux... Les véritables responsables sont ces gros c d'Oracle.

Quand à la baisse d'intérêt, elle n'est nullement liée à cela: C'est juste que transférer le bureau d'un PC avec écran de 22" muloguidé en celui d'un gros smartphone typé tactile... c'est juste totalement hors sujet.

Et ce problème touchera aussi windoze 8 pour ce que j'ai pu en entrevoir... Mais bon, on s'est habitué à avoir une version sur deux à jeter et la prochaine semble en vue.

Au final... XCFE et OpenJDK vaincront
Avatar de yvan INpactien
yvan Le lundi 19 décembre 2011 à 09:48:40
Inscrit le mardi 21 janvier 03 - 8106 commentaires

Oracle est plus à blâmer que Canonical dans cette histoire je trouve.

+1
Avatar de al_bebert INpactien
al_bebert Le lundi 19 décembre 2011 à 09:52:11
Inscrit le jeudi 1 décembre 05 - 4733 commentaires
Canonical fait pour le mieux... Les véritables responsables sont ces gros c d'Oracle.

Quand à la baisse d'intérêt, elle n'est nullement liée à cela: C'est juste que transférer le bureau d'un PC avec écran de 22" muloguidé en celui d'un gros smartphone typé tactile... c'est juste totalement hors sujet.

Et ce problème touchera aussi windoze 8 pour ce que j'ai pu en entrevoir... Mais bon, on s'est habitué à avoir une version sur deux à jeter et la prochaine semble en vue.

Au final... XCFE et OpenJDK vaincront


tty vaincra ^!
Avatar de ragoutoutou INpactien
ragoutoutou Le lundi 19 décembre 2011 à 09:54:56
Inscrit le mercredi 25 juillet 07 - 4609 commentaires
Canonical n'est pas le premier à faire le coup avec la jvm... Red Hat l'a aussi fait.
En environnement serveur, se balader avec une JVM pas à jour peut relever du suicide.
Avatar de ragoutoutou INpactien
ragoutoutou Le lundi 19 décembre 2011 à 09:58:06
Inscrit le mercredi 25 juillet 07 - 4609 commentaires
Oui, donc la suppression n'est pas automatique, puisqu'il faut faire la mise à jour pour que le paquet soit supprimer.


L'utilisateur peut aussi refuser la mise à jour, placer son paquet java dans un régime d'exception qui désactive la mise à jour pour ce logiciel, et ensuite continuer à se trimbaler avec une jvm dangereuse tout en ayant le reste du système à jour.
Avatar de Kervala INpactien
Kervala Le lundi 19 décembre 2011 à 09:58:42
Inscrit le lundi 3 mars 08 - 238 commentaires
Ce qui me dérange un peu, c'est que Google recommande Oracle JDK pour compiler les applications Android.

S'il-vous-plait, est-ce quelqu'un sait si les applications compilées avec OpenJDK fourniront une application confirme et aussi optimisée qu'avec le JDK d'Oracle ?
Avatar de nikon56 INpactien
nikon56 Le lundi 19 décembre 2011 à 09:58:41
Inscrit le lundi 2 juillet 07 - 5681 commentaires
Oui, donc la suppression n'est pas automatique, puisqu'il faut faire la mise à jour pour que le paquet soit supprimer. Bref, c'est exactement comme d'habitude. Lors du passage de XFree à Xorg (ubuntu n'existait pas), XFree a été supprimé automatiquement pour être ramplacer par Xorg Oui bon, en fait, il n'était plus dans les dépôt et en acceptant la mise à jour il a été remplacé par l'autre. C'est le fonctionnement normal d'un dépôt de l'ogiciel.

Quand la niouze est sortie sur /. il s'est passé la même chose : "omg ils suppriment des logiciels de mon ordinateur sans me demander", et en fait non. La vérité est que je supprime moi même des logiciels de mon ordinateur sur recommandation du gestionnaire de paquets.

Enfin, une side note pour info : l'openjdk est l'implantation de référence de Java depuis quelques temps déjà...


oui et no.

autant oracle est plus a blamer que canonical, autant la facon de faire ne me plait pas.

installer un jdk-X.X.X-x86.deb vide pour remplacer le precedent, ca marche pas.

en effet, pour pouvoir le remplacer, le paquet vas devoir indiquer qu'il fournis / remplace les fonctionnalité de la version precedente du paquet, or ce n'est pas le cas.

le soucis, c'est que du coup, toutes les applications qui dependent d'un jre vont continuer a se mettre a jour et a planter inexplicablement pour l'utilisateur, et il sera meme possible d'en installer de nouvelles, les dependances etant satisfaites (virtuellement, mais pas dans les faits).

il vaut mieux passer l'install d'un paquet tiers qui va executer un installer demandant a l'utilisateur ce qu'il souhaite faire:

1- rester dans l'etat actuel
2- supprimer JDK d'oracle
3- le remplacer pour openJDK afin d'assurer la continuité du fonctionnement des applis

ce serait beaucoup plus propre que de fournire un paquet "dummy", les effets de bords ne sont pas negligeables.


donc es deux ici sont a blamer selon moi, oracle pour le non-support / misea jour
et canonical parce que la solution retenue est loin d'etre la meilleure et risque d'engendrer des effets de bords non-negligeables
ps: je gere un depot Debian, j'ai deja été confronté aux effets de bords de ce qui peut paraitre comme une manip anodine comme celle ci.


Edité par nikon56 le lundi 19 décembre 2011 à 10:01
;