S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Les vieilles machines virtuelles Java supprimées automatiquement d'Ubuntu

Pas de kill switch, mais une mise à jour fantôme

Même si la popularité de la distribution Linux Ubuntu semble décroitre, elle est aujourd’hui l’une des plus connues et utilisées. Canonical, qui se tient derrière Ubuntu, a pourtant pris une décision qui pourrait écorner cette popularité : supprimer un paquet logiciel sur un grand nombre de machines. La raison invoquée ? La sécurité.

ubuntu

Le rachat de Sun par Oracle a provoqué de nombreux changements, dont l’un particulièrement important intervenu en aout dernier : la fin de la Distributor License for Java pour les systèmes d’exploitation. En clair, les fournisseurs de systèmes d’exploitation n’avaient plus la possibilité de distribuer eux-mêmes les paquets Java Development Kit (JDK). Oracle souhaite maitriser en effet la distribution de la machine virtuelle Java.

Sur Ubuntu, comme sur d’autres distributions Linux, on trouve la version libre OpenJDK de cette machine virtuelle, mais ses capacités ne sont pas tout à fait les mêmes que celle du JDK classique. De fait, des utilisateurs installent cette dernière depuis plusieurs mois, sans se rendre compte que la dernière révision date du mois d’août et qu’elle n’est plus mise à jour suite au retrait de la Distributor License.

Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fera donc sous la forme d’une mise à jour fantôme, mais la date exacte reste encore à déterminer. Une décision équivalente à celle déjà prise par les  développeurs de Debian.

Ubuntu 11.10 ne contient déjà plus le JDK car cette version est sortie après la décision d’Oracle. Pour les autres cependant, la situation les concerne, et trois moutures du système sont impactées :
  • Ubuntu 10.04 LTS (Lucid Lynx)
  • Ubuntu 10.10 (Maverick Meerkat)
  • Ubuntu 11.04 (Natty Narwhal)
Mais pourquoi un tel nettoyage par le vide ? Marc Deslauriers de chez Canonical explique que la décision n’était pas facile mais qu’elle avait le mérite de répondre à un problème réel. Les failles du JDK étaient déjà exploitées et il n’existait pas de mise à jour. Plutôt que de laisser les failles en place, Canonical a choisi de supprimer un composant jugé désormais comme dangereux. Désormais, il existe deux solutions pour disposer de Java : installer l’OpenJDK depuis le dépôt principal d’Ubuntu, ou installer manuellement le logiciel depuis le site d’Oracle.

Évidemment, la problématique soulevée n’est pas tant celle de la sécurité que de la décision unilatérale de Canonical au sujet du retrait d’un paquet. Les raisons qui ont poussé l’éditeur à procéder ainsi sont compréhensibles, mais certains utilisateurs risquent de ne pas apprécier une décision qui a été prise pour eux. Un comportement plus proche des plateformes mobiles que du PC classique. Mais comme on a pu le voir récemment avec le Windows Store de Windows 8, cette possibilité est inhérente au fonctionnement des dépôts centralisés : le contrôle du dépôt entraîne celui des composants qui s’y trouvent.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/12/2011 à 09:29

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 214 commentaires

Avatar de Hoper INpactien
Hoper Le lundi 19 décembre 2011 à 13:55:12
Inscrit le lundi 3 juillet 06 - 902 commentaires


Sauf que ce n'est pas arbitraire puisqu'il y a une réelle justification au niveau sécurité,


Justifications qu'on attend toujours hein... 3 postes que je la demande, et toujours rien. Je vais finir par croire que c'est une décision finalement beaucoup plus politique que technique...


si tu es un utilisateur un peu consciencieux et que tu lis l'information mise à ta disposition.


Foutaises, personne ne peut se permettre de lire 50 releases notes tous les 3 jours. On faisait (vous notez l'usage de l'imparfait ?) grosso modo confiance à canonical. Il faut croire que cette confiance était déplacée.

Les seules fois ou j'ai lu les notes accompagnant les mises à jour c'est quand je voyais dans la liste des trucs vraiment sensibles au niveau sécurités (sshd...) Pour le reste, on part du principe que ce sont des corrections de bugs divers et variés. Jamais on se serait imaginé qu'une mise à jour pouvais dissimuler la suppression d'un logiciel.(enfin techniquement on le savait évidement, mais on n'imaginait pas que quiconque aurait osé le faire).
Avatar de brokensoul INpactien
brokensoul Le lundi 19 décembre 2011 à 13:55:13
Inscrit le mardi 16 mai 06 - 4220 commentaires
3 choses à noter ici :
  • Hoper a raison depuis le début..

Il suffisait de le dire, je ne sais pas pourquoi est-ce que l'on discute alors ? Bon, autre chose à faire puisque la discussion est close.
Avatar de TaigaIV INpactien
TaigaIV Le lundi 19 décembre 2011 à 13:56:44
Inscrit le mercredi 1 octobre 08 - 10470 commentaires

Ils auraient aussi pu faire un gros doigt à la licence et continuer de distribuer les mises à jour de java dans leur dépots. La oui, canonical serait fortement remonté dans mon estime.

S'te solution de petit joueur, ils auraient aussi pu descendre le type qui a fait modifié la licence, ça aurait fait un bel exemple et calmé tout le monde.
Avatar de joss17 INpactien
joss17 Le lundi 19 décembre 2011 à 13:57:09
Inscrit le mardi 24 juin 08 - 1057 commentaires


Je crois que canonical aussi. C'est pour ça qu'ils se permettent ce genre de chose, pour ça aussi qu'ils ont imposés des changements très important dans les interfaces graphiques etc. Et c'est la raison pour laquelle li y a tant d'utilisateurs qui abandonnent (et abandonneront) la distribution. Encore une fois, ils faudra pas qu'ils se demandent pourquoi cette distrib s'est cassé la gueule après avoir été unanimement reconnue et choisie.

Peut être, mais en tout cas ils n'imposent rien stricto sensu, tu peux désactiver les mises à jours, récupérer des 10.04, installer gnome falback ou je ne sais quoi d'autre, etc...
Que tu n'aime pas la direction que prend la distribution ok (moi non plus je n'utilise plus ubuntu), mais il est fallacieux et complètement biaisé de dire que canonical impose quelque chose ou utilise un kill switch.

Moi ce qui m'énerve dans cet article c'est l'amalgame à deux balles qui essaye de rapprocher le kill switch des store privateur avec un problème sur le paquet sun-java dans les dépôts canonical.

Arrêtons la désinformation, ça n'a strictement rien à voir.

a+

Edité par joss17 le lundi 19 décembre 2011 à 13:57
Avatar de ragoutoutou INpactien
ragoutoutou Le lundi 19 décembre 2011 à 13:57:14
Inscrit le mercredi 25 juillet 07 - 4609 commentaires
Sinon, Canonical aurait pu faire un peu mieux en créant un paquet avec la directive "Replaces: sun-java6-bin" qui aurait explicitement désinstallé le paquet java au lieu d'en faire la "mise à jour"...
Avatar de Hoper INpactien
Hoper Le lundi 19 décembre 2011 à 13:57:17
Inscrit le lundi 3 juillet 06 - 902 commentaires

ok, là c'est la différence entre une boîte qui essaie de faire son boulot, et un utilisateur qui propose n'importe quoi... Effectivement avec ce raisonnement tout est simple, je ne comprends pas pourquoi Cannonical n'y a pas pensé

C'est vrai, ca aurait bien été la toute première entreprise au monde à se permettre d'ignorer des licences...

Sérieusement, le "professionnalisme" n'a rien à voir la dedans, c'est juste que les avocats de canonical se chieraient dessus si ils avaient affaire à l'armée d'avocats d'oracle, point.

Edité par hoper le lundi 19 décembre 2011 à 13:59
Avatar de Hoper INpactien
Hoper Le lundi 19 décembre 2011 à 13:57:50
Inscrit le lundi 3 juillet 06 - 902 commentaires
Désolé, fausse manip :(
Commentaire à supprimer, merci.

Edité par hoper le lundi 19 décembre 2011 à 13:59
Avatar de Gurney INpactien
Gurney Le lundi 19 décembre 2011 à 13:58:31
Inscrit le mardi 1 septembre 09 - 151 commentaires

Arbitraire et justifié n'ont rien à voir. Si tu ne comprends pas la nuance, c'est grave.



De mieux en mieux.

Arbitraire = sans justification.

Franchement...
Avatar de ragoutoutou INpactien
ragoutoutou Le lundi 19 décembre 2011 à 14:01:07
Inscrit le mercredi 25 juillet 07 - 4609 commentaires
Justifications qu'on attend toujours hein... 3 postes que je la demande, et toujours rien. Je vais finir par croire que c'est une décision finalement beaucoup plus politique que technique...


Forcément si t'es si efficace pour trouver l'info, tu dois vachement avoir l'impression de subir... il y y a un lien dans l'article vers l'annonce canonical qui pointe sur le security advisory Oracle.

Maintenant, si tu crois pas Oracle, qu'est-ce que tu fous à chialer pour cette jvm?
Avatar de joss17 INpactien
joss17 Le lundi 19 décembre 2011 à 14:03:56
Inscrit le mardi 24 juin 08 - 1057 commentaires

Les seules fois ou j'ai lu les notes accompagnant les mises à jour c'est quand je voyais dans la liste des trucs vraiment sensibles au niveau sécurités (sshd...) Pour le reste, on part du principe que ce sont des corrections de bugs divers et variés.
Jamais on se serait imaginé qu'une mise à jour pouvais dissimuler la suppression d'un logiciel.(enfin techniquement on le savait évidement, mais on n'imaginait pas que quiconque aurait osé le faire).

Tu viens de gagner un niveau en admin sys. Maintenant tu n'as plus qu'à changer de crémerie. Moi je conseille des distro 100% libre (comme ça pas de problème de licences) et communautaires (comme ça pas de problème de part de marché, de faillite ou autre).

Après chacun voit midi à sa porte.

a+

;