S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Les vieilles machines virtuelles Java supprimées automatiquement d'Ubuntu

Pas de kill switch, mais une mise à jour fantôme

Même si la popularité de la distribution Linux Ubuntu semble décroitre, elle est aujourd’hui l’une des plus connues et utilisées. Canonical, qui se tient derrière Ubuntu, a pourtant pris une décision qui pourrait écorner cette popularité : supprimer un paquet logiciel sur un grand nombre de machines. La raison invoquée ? La sécurité.

ubuntu

Le rachat de Sun par Oracle a provoqué de nombreux changements, dont l’un particulièrement important intervenu en aout dernier : la fin de la Distributor License for Java pour les systèmes d’exploitation. En clair, les fournisseurs de systèmes d’exploitation n’avaient plus la possibilité de distribuer eux-mêmes les paquets Java Development Kit (JDK). Oracle souhaite maitriser en effet la distribution de la machine virtuelle Java.

Sur Ubuntu, comme sur d’autres distributions Linux, on trouve la version libre OpenJDK de cette machine virtuelle, mais ses capacités ne sont pas tout à fait les mêmes que celle du JDK classique. De fait, des utilisateurs installent cette dernière depuis plusieurs mois, sans se rendre compte que la dernière révision date du mois d’août et qu’elle n’est plus mise à jour suite au retrait de la Distributor License.

Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fera donc sous la forme d’une mise à jour fantôme, mais la date exacte reste encore à déterminer. Une décision équivalente à celle déjà prise par les  développeurs de Debian.

Ubuntu 11.10 ne contient déjà plus le JDK car cette version est sortie après la décision d’Oracle. Pour les autres cependant, la situation les concerne, et trois moutures du système sont impactées :
  • Ubuntu 10.04 LTS (Lucid Lynx)
  • Ubuntu 10.10 (Maverick Meerkat)
  • Ubuntu 11.04 (Natty Narwhal)
Mais pourquoi un tel nettoyage par le vide ? Marc Deslauriers de chez Canonical explique que la décision n’était pas facile mais qu’elle avait le mérite de répondre à un problème réel. Les failles du JDK étaient déjà exploitées et il n’existait pas de mise à jour. Plutôt que de laisser les failles en place, Canonical a choisi de supprimer un composant jugé désormais comme dangereux. Désormais, il existe deux solutions pour disposer de Java : installer l’OpenJDK depuis le dépôt principal d’Ubuntu, ou installer manuellement le logiciel depuis le site d’Oracle.

Évidemment, la problématique soulevée n’est pas tant celle de la sécurité que de la décision unilatérale de Canonical au sujet du retrait d’un paquet. Les raisons qui ont poussé l’éditeur à procéder ainsi sont compréhensibles, mais certains utilisateurs risquent de ne pas apprécier une décision qui a été prise pour eux. Un comportement plus proche des plateformes mobiles que du PC classique. Mais comme on a pu le voir récemment avec le Windows Store de Windows 8, cette possibilité est inhérente au fonctionnement des dépôts centralisés : le contrôle du dépôt entraîne celui des composants qui s’y trouvent.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/12/2011 à 09:29

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 214 commentaires

Avatar de Commentaire_supprime INpactien
Commentaire_supprime Le lundi 19 décembre 2011 à 14:04:22
Inscrit le vendredi 31 octobre 08 - 27116 commentaires


Je crois que canonical aussi. C'est pour ça qu'ils se permettent ce genre de chose, pour ça aussi qu'ils ont imposés des changements très important dans les interfaces graphiques etc. Et c'est la raison pour laquelle li y a tant d'utilisateurs qui abandonnent (et abandonneront) la distribution. Encore une fois, ils faudra pas qu'ils se demandent pourquoi cette distrib s'est cassé la gueule après avoir été unanimement reconnue et choisie.


D'un certain côté, plutôt d'accord.

En toute franchise, Ubuntu 11.10 sera la dernière release que j'utiliserais, à mon grand regret. A force de faire tout et n'importe quoi depuis la 10.04, ils m'ont convaincu de passer sur Fedora.

Bizarrement, alors que Fedora est sensée être plus "expérimentale" qu'Ubuntu, toutes les fois où je l'ai utilisée en dehors de la toute première (à savoir, F11, 13, 15 et maintenant 16), je n'ai jamais eu de problème majeur. La seule merde agaçante que j'ai eue fut un pilote de chipset wifi impossible à installer sur F13 parce que la bonne version des paquets n'était pas dans les dépôts...

Donc, désolé, mais avec la sortie de F17, adieu Ubuntu, son Unity collé de force, ses couillonades avec JDK et autres trucs et machins à la longue skiants comme la pluie. Réussir à emmerder davantage l'utilisateur qu'une Fedora de base avec une distro sensée être Linux-friendly, faut le faire...
Avatar de Gurney INpactien
Gurney Le lundi 19 décembre 2011 à 14:06:23
Inscrit le mardi 1 septembre 09 - 151 commentaires


Forcément si t'es si efficace pour trouver l'info, tu dois vachement avoir l'impression de subir... il y y a un lien dans l'article vers l'annonce canonical qui pointe sur le security advisory Oracle.

Maintenant, si tu crois pas Oracle, qu'est-ce que tu fous à chialer pour cette jvm?



Laisse, c'est nous qui "lisons en diagonale" ses posts et qui entravons rien à rien.
Avatar de sr17 INpactien
sr17 Le lundi 19 décembre 2011 à 14:09:17
Inscrit le lundi 26 décembre 05 - 12008 commentaires
On peut toujours voir à la décision d'Ubuntu quelque chose de critiquable car la suppression d'un tel paquet entraine de facto le dysfonctionnement de toute solution java qui y ferait appel.
Mais pouvait t'on laisser des failles de sécurité non corrigeables pourrir la sécurité de tout le parc installé en Ubuntu ? Bien sûr que non.

Alors oui, la décision qu'ils ont pris n'est pas idéale, mais de toute façon il n'y avait pas de solution parfaite. Ils ont choisi la meilleure solution et c'est tout.

S'il y a quelqu'un à blâmer dans l'affaire, c'est Oracle et personne d'autre. C'est la preuve qu'il faut toujours se méfier des logiciels propriétaires et qu'on est jamais à l'abri d'un revirement.

Avatar de Gurney INpactien
Gurney Le lundi 19 décembre 2011 à 14:09:24
Inscrit le mardi 1 septembre 09 - 151 commentaires


D'un certain côté, plutôt d'accord.

En toute franchise, Ubuntu 11.10 sera la dernière release que j'utiliserais, à mon grand regret. A force de faire tout et n'importe quoi depuis la 10.04, ils m'ont convaincu de passer sur Fedora.

Bizarrement, alors que Fedora est sensée être plus "expérimentale" qu'Ubuntu, toutes les fois où je l'ai utilisée en dehors de la toute première (à savoir, F11, 13, 15 et maintenant 16), je n'ai jamais eu de problème majeur. La seule merde agaçante que j'ai eue fut un pilote de chipset wifi impossible à installer sur F13 parce que la bonne version des paquets n'était pas dans les dépôts...

Donc, désolé, mais avec la sortie de F17, adieu Ubuntu, son Unity collé de force, ses couillonades avec JDK et autres trucs et machins à la longue skiants comme la pluie. Réussir à emmerder davantage l'utilisateur qu'une Fedora de base avec une distro sensée être Linux-friendly, faut le faire...


Alors...

Bon je vais passer pour un fanboy (après tout j'utilise Unity, et pire, j'aime bien).

Mais moi, les distros qui te "collent de force" Gnome2 (inspiré directement de Win95), ben j'en ai un peu ma claque aussi.
Avatar de brazomyna INpactien
brazomyna Le lundi 19 décembre 2011 à 14:12:18
Inscrit le vendredi 7 octobre 11 - 5269 commentaires
Arbitraire = sans justification.

Non, arbitraire = sans laisser le choix en imposant les siens. Encore un fois ça n'a rien à voir.


Laisse, c'est nous qui "lisons en diagonale" ses posts et qui entravons rien à rien.

Plus constructif, tu meurs
Avatar de Gurney INpactien
Gurney Le lundi 19 décembre 2011 à 14:13:27
Inscrit le mardi 1 septembre 09 - 151 commentaires
On peut toujours voir à la décision d'Ubuntu quelque chose de critiquable car la suppression d'un tel paquet entraine de facto le dysfonctionnement de toute solution java qui y ferait appel.
Mais pouvait t'on laisser des failles de sécurité non corrigeables pourrir la sécurité de tout le parc installé en Ubuntu ? Bien sûr que non.

Alors oui, la décision qu'ils ont pris n'est pas idéale, mais de toute façon il n'y avait pas de solution parfaite. Ils ont choisi la meilleure solution et c'est tout.

S'il y a quelqu'un à blâmer dans l'affaire, c'est Oracle et personne d'autre. C'est la preuve qu'il faut toujours se méfier des logiciels propriétaires et qu'on est jamais à l'abri d'un revirement.




Merci.

Ubuntu a pris une décision pour l'utilisateur type d'Ubuntu : le casual user comme c'était décrit un peu plus haut.

La personne qui, probablement, n'a pas besoin d'avoir une JDK installée sur son poste.

Arch a pris une décision qui correspond à l'utilisateur type d'Arch : l'utilisateur plus avancé.

La personne qui probablement a installé en connaissance de cause le JDK et qui, voyant qu'il n'est plus maintenu, ira de lui même régler le problème.

Franchement...
Avatar de Gurney INpactien
Gurney Le lundi 19 décembre 2011 à 14:15:02
Inscrit le mardi 1 septembre 09 - 151 commentaires

Non, arbitraire = sans laisser le choix en imposant les siens. Encore un fois ça n'a rien à voir.



Plus constructif, tu meurs



Y'a 5 pages de construction Et après t'as slashdot si tu veux.

Et puis si on veut faire de la sémantique, ils "forcent" (ce qui d'ailleurs est pas exactement vrai pour xx raisons décrites dans les 5 pages précédentes) quelque chose qui est justifié, donc non arbitraire

Edité par Gurney le lundi 19 décembre 2011 à 14:19
Avatar de Freud INpactien
Freud Le lundi 19 décembre 2011 à 14:18:31
Inscrit le vendredi 27 juin 03 - 2689 commentaires
Bon, alors on va essayer de faire simple :

Ubuntu me dit "mise à jour de Java disponible, voulez-vous appliquer la mise à jour ?", j'accepte. Java est supprimé. C'est mensonger, anormal, et inadmissible.

C'est quand même facile à comprendre, non ?

Si, en revanche, Ubuntu me disait "suppression de Java recommandée pour des raisons de sécurité", il n'y aurait aucun problème, même si c'était coché par défaut.

Sans compter les effets de bord : les gestionnaires de paquets vont rapporter que Java est installé et à jour (puisqu'il s'agit d'un paquet vide). Bonjour le bordel...

Certains devraient enlever leurs oeillères et admettre que c'est une connerie de tromper l'utilisateur. Le fait que ce soit Canonical ne change rien à la situation.

J'aimerais beaucoup voir les personnes qui défendent Canonical défendre Microsoft le jour où ils publieront une update qui supprime Java...
Avatar de gouessej INpactien
gouessej Le lundi 19 décembre 2011 à 14:20:07
Inscrit le dimanche 8 août 10 - 361 commentaires
Bonjour

Ce qui me dérange un peu, c'est que Google recommande Oracle JDK pour compiler les applications Android.

S'il-vous-plait, est-ce quelqu'un sait si les applications compilées avec OpenJDK fourniront une application confirme et aussi optimisée qu'avec le JDK d'Oracle ?

OpenJDK et la JVM d'Oracle partagent une grande partie du code et la première est obligée de passer des tests de conformité. Je vous rappelle que de toute façon, sur un terminal utilisant Android, c'est la DVM qui est utilisée. Le SDK de Google utilise la machine virtuelle Java pour faire tourner l'émulateur et pour produire les fichiers .apk entre autres. L'outil dx convertit les fichiers .class (destinés à une JVM) en fichiers .dex (destinés à une DVM). J'utilise OpenJDK et le JDK d'Oracle tous les jours, je n'ai jamais relevé de différences notables de performances, le bytecode généré est le même donc dans votre cas, dx fournira très probablement le même bytecode dex.
Avatar de Commentaire_supprime INpactien
Commentaire_supprime Le lundi 19 décembre 2011 à 14:21:01
Inscrit le vendredi 31 octobre 08 - 27116 commentaires

Y'a 5 pages de construction Et après t'as slashdot si tu veux.


Et pour la déconstruction, c'est ce monsieur qu'il faut consulter...

humour.png intello pour détendre un peu l'ambiance.
;