Les vieilles machines virtuelles Java supprimées automatiquement d'Ubuntu
Pas de kill switch, mais une mise à jour fantôme
Même si la popularité de la distribution Linux Ubuntu semble décroitre, elle est aujourd’hui l’une des plus connues et utilisées. Canonical, qui se tient derrière Ubuntu, a pourtant pris une décision qui pourrait écorner cette popularité : supprimer un paquet logiciel sur un grand nombre de machines. La raison invoquée ? La sécurité.
Le rachat de Sun par Oracle a provoqué de nombreux changements, dont l’un particulièrement important intervenu en aout dernier : la fin de la Distributor License for Java pour les systèmes d’exploitation. En clair, les fournisseurs de systèmes d’exploitation n’avaient plus la possibilité de distribuer eux-mêmes les paquets Java Development Kit (JDK). Oracle souhaite maitriser en effet la distribution de la machine virtuelle Java.
Sur Ubuntu, comme sur d’autres distributions Linux, on trouve la version libre OpenJDK de cette machine virtuelle, mais ses capacités ne sont pas tout à fait les mêmes que celle du JDK classique. De fait, des utilisateurs installent cette dernière depuis plusieurs mois, sans se rendre compte que la dernière révision date du mois d’août et qu’elle n’est plus mise à jour suite au retrait de la Distributor License.
Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fera donc sous la forme d’une mise à jour fantôme, mais la date exacte reste encore à déterminer. Une décision équivalente à celle déjà prise par les développeurs de Debian.
Ubuntu 11.10 ne contient déjà plus le JDK car cette version est sortie après la décision d’Oracle. Pour les autres cependant, la situation les concerne, et trois moutures du système sont impactées :
Évidemment, la problématique soulevée n’est pas tant celle de la sécurité que de la décision unilatérale de Canonical au sujet du retrait d’un paquet. Les raisons qui ont poussé l’éditeur à procéder ainsi sont compréhensibles, mais certains utilisateurs risquent de ne pas apprécier une décision qui a été prise pour eux. Un comportement plus proche des plateformes mobiles que du PC classique. Mais comme on a pu le voir récemment avec le Windows Store de Windows 8, cette possibilité est inhérente au fonctionnement des dépôts centralisés : le contrôle du dépôt entraîne celui des composants qui s’y trouvent.
Le rachat de Sun par Oracle a provoqué de nombreux changements, dont l’un particulièrement important intervenu en aout dernier : la fin de la Distributor License for Java pour les systèmes d’exploitation. En clair, les fournisseurs de systèmes d’exploitation n’avaient plus la possibilité de distribuer eux-mêmes les paquets Java Development Kit (JDK). Oracle souhaite maitriser en effet la distribution de la machine virtuelle Java.
Sur Ubuntu, comme sur d’autres distributions Linux, on trouve la version libre OpenJDK de cette machine virtuelle, mais ses capacités ne sont pas tout à fait les mêmes que celle du JDK classique. De fait, des utilisateurs installent cette dernière depuis plusieurs mois, sans se rendre compte que la dernière révision date du mois d’août et qu’elle n’est plus mise à jour suite au retrait de la Distributor License.
Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fera donc sous la forme d’une mise à jour fantôme, mais la date exacte reste encore à déterminer. Une décision équivalente à celle déjà prise par les développeurs de Debian.
Ubuntu 11.10 ne contient déjà plus le JDK car cette version est sortie après la décision d’Oracle. Pour les autres cependant, la situation les concerne, et trois moutures du système sont impactées :
- Ubuntu 10.04 LTS (Lucid Lynx)
- Ubuntu 10.10 (Maverick Meerkat)
- Ubuntu 11.04 (Natty Narwhal)
Évidemment, la problématique soulevée n’est pas tant celle de la sécurité que de la décision unilatérale de Canonical au sujet du retrait d’un paquet. Les raisons qui ont poussé l’éditeur à procéder ainsi sont compréhensibles, mais certains utilisateurs risquent de ne pas apprécier une décision qui a été prise pour eux. Un comportement plus proche des plateformes mobiles que du PC classique. Mais comme on a pu le voir récemment avec le Windows Store de Windows 8, cette possibilité est inhérente au fonctionnement des dépôts centralisés : le contrôle du dépôt entraîne celui des composants qui s’y trouvent.
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 19 décembre 2011 à 09:29
(24 544
lectures)
Il y a 214 commentaires
INpactien
Commentaire_supprime
Le lundi 19 décembre 2011 à 14:38:00
#141
Inscrit
le vendredi 31 octobre 08
-
24553
commentaires
En même temps, c'est aussi ce qui as fait le succès d'Ubuntu.
Parce qu'il faut voir les choses en face, se priver de certains logiciels entraine de facto l'impossibilité ou la difficulté de lire certains formats. Et de fait risque de condamner l'existence même de Linux.
Par exemple, c'est bien gentil de ne pas proposer flash dans les dépots. Mais peut t'on réellement surfer de nos jours sans ce plugin ? Alors si la plupart des utilisateurs doivent se taper l'installation manuelle, autant proposer un paquet pour le faire.
D'autant plus que les alternatives libres :
1) n'existent pas toujours
2) sont parfois nettement moins performantes, au point, ou les deux.
Pour Flash, Gnash, l'alternative libre, ne marche correctement que sur ma Fedora 16 chez moi. Pourtant, ça fait depuis plusieurs années que le paquet existe mais il marchait tellement de travers jusqu'à cette date que je préférais toujours le flahsplayer d'Adobe à la place.
INpactien
SURTOUT dans le cadre d'une distrib qui se veut grand public !!!!
Comment va réagir un utilisateur lambda qui se trouve sans JVM et dont le gestionnaire de paquetages lui dit que tout va bien dans le meilleur des mondes? Canonical aurait pu trouver une autre solution. Celle-ci n'est satisfaisante pour personne.
Sauf si ils changent les dépendances des paquets actuels vers la JVM d'Oracle pour l'OpenJDK, et utilisent intelligemment le champs "incompatible avec".
Quelqu'un sait quelque chose à ce sujet ?
Parce que pour l'instant, il est quand même utile de rappeler qu'il ne s'est STRICTEMENT RIEN passé !!!
Quelqu'un sait quelque chose à ce sujet ?
Parce que pour l'instant, il est quand même utile de rappeler qu'il ne s'est STRICTEMENT RIEN passé !!!
Ce n'est pas si simple, même Minecraft est connu pour mal fonctionner avec OpenJDK et ça c'est de la faute du développeur (qui fréquentait javagaming.org comme moi). Cela peut très bien se passer sans souci pour de nombreuses applications mais je maintiens que la décision de Canonical est précipitée. Il aurait fallu laisser le temps aux développeurs de préparer cette transition.
Edité par gouessej le lundi 19 décembre 2011 à 14:42
INpactien
127.0.0.1
Le lundi 19 décembre 2011 à 14:39:38
#143
Inscrit
le mercredi 29 avril 09
-
12264
commentaires
Question : est-ce que Canonical fait des mises à jour fantôme pour tous les softs du dépôt qui ont une faille connue ?
INpactien
Je crois que canonical aussi. C'est pour ça qu'ils se permettent ce genre de chose, pour ça aussi qu'ils ont imposés des changements très important dans les interfaces graphiques etc. Et c'est la raison pour laquelle li y a tant d'utilisateurs qui abandonnent (et abandonneront) la distribution. Encore une fois, ils faudra pas qu'ils se demandent pourquoi cette distrib s'est cassé la gueule après avoir été unanimement reconnue et choisie.
Pour le changement d'interface, je suis d'accord. Ce qu'ils ont fait est idiot. Complètement idiot.
Espérons qu'ils changent d'avis pour la 12.04. Ou tout au moins qu'ils proposent dans les dépôts d'installer MATE le fork de l'environnement de gnome 2.x
De toute façon, devant la fuite des utilisateurs, ils finiront bien par en revenir de leur interface Unity.
On voit par exemple que Linux Mint propose l'alternative entre Gnome Shell et MATE, le fork de l'environnement Gnome 2.
INpactien
Question : est-ce que Canonical fait des mises à jour fantôme pour tous les softs du dépôt qui ont une faille connue ?
Non, ils proposent des correctifs.
Mais pour le paquet OpenJDK, si on a bien compris, c'est un problème de licence qui empêche de le faire.
INpactien
Pour le changement d'interface, je suis d'accord. Ce qu'ils ont fait est idiot. Complètement idiot.
Espérons qu'ils changent d'avis pour la 12.04. Ou tout au moins qu'ils proposent dans les dépôts d'installer MATE le fork de l'environnement de gnome 2.x
De toute façon, devant la fuite des utilisateurs, ils finiront bien par en revenir de leur interface Unity.
On voit par exemple que Linux Mint propose l'alternative entre Gnome Shell et MATE, le fork de l'environnement Gnome 2.
Ben voilà. On a donc Mint avec Mate/Shell par défaut, Debian avec ce que tu veux, Fedora avec Gnome2, encore une autre avec KDE, je sais pas laquelle avec Enlighted, et Ubuntu avec Unity.
Pick your choice. Welcome to the FOSS world.
Et si tu veux absolument Ubuntu sans Unity, ben c'est possible.
Je capte pas, vraiment. C'est comme le débat sur les logiciels installés par défaut dans la distrib...
Pour ma part, la seule chose que je reproche à Ubuntu c'est d'avoir proposé Unity en premier (Gnome2 étant toujours présent) lors d'une mise à jour de la 10.10. Après c'est leur distrib, ils font ce qu'ils veulent.
Et les choix techniques d'Unity (Compiz/Nux et Metacity/Qt pour la 2D) sont pas mauvais.
INpactien
Non, ils proposent des correctifs.
Mais pour le paquet OpenJDK sun-java, si on a bien compris, c'est un problème de licence qui empêche de le faire.
INpactien
Comment va réagir un utilisateur lambda qui se trouve sans JVM et dont le gestionnaire de paquetages lui dit que tout va bien dans le meilleur des mondes? Canonical aurait pu trouver une autre solution. Celle-ci n'est satisfaisante pour personne.
Sauf qu'on ne sait pas encore dans les détails ce qu'ils vont faire.
Je réitère ma question : comment ça se passerait si on supprime un paquet dont dépendent d'autres paquets. Si je suis pas complètement bouché, la ligne de dépendance est supprimée.
C'est pas vraiment une solution non plus.
Et je réitère mon autre question :
Est-ce qu'on peut pas jouer avec les dépendances de paquets et autres "incompatible avec" pour faire ça intelligemment et proposer une OpenJDK (seule solution disponible désormais) en remplacement ?
INpactien
Comment va réagir un utilisateur lambda qui se trouve sans JVM et dont le gestionnaire de paquetages lui dit que tout va bien dans le meilleur des mondes? Canonical aurait pu trouver une autre solution. Celle-ci n'est satisfaisante pour personne.
Ca, on ne sais pas. La logique voudrait effectivement qu'on prévienne au moins l'utilisateur. Mais c'est peut être ce qui est prévu.
Ce n'est pas si simple, même Minecraft est connu pour mal fonctionner avec OpenJDK et ça c'est de la faute du développeur (qui fréquentait javagaming.org comme moi). Cela peut très bien se passer sans souci pour de nombreuses applications mais je maintiens que la décision de Canonical est précipitée. Il aurait fallu laisser le temps aux développeurs de préparer cette transition.
En même temps, il y a un problème de failles de sécurité qui présente un danger important. C'est pourquoi il est urgent d'agir.
Après tout, Ubuntu aurait pu laisser pisser et laisser les failles. Il faut apprécier le fait qu'ils ont eu le courage de faire le nécessaire pour la sécurité de la distro.
INpactien
Java : Code once, debug everywhere.
Je fais du Java depuis 2002. J'ai réussi à exécuter Frag Island écrit en 1997 avec une JVM 1.6 update 30 qui a quelques semaines. Désolé mais quelques développeurs Java rodent dans le coin, vous ne pouvez pas balancer des énormités sans être repris par celles et ceux qui savent de quoi ils parlent.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
Un moniteur LED Viewsonic de 27 pouces avec 2 HDMI : 191,90 €
Valable jusqu'au 26 mai -
Un boîtier Antec Lanboy Air bleu pour 79,99 €
Valable jusqu'au 26 mai -
75 % de remise sur deux épisodes de la saga Dead Space
Valable pendant 8 heures -
66 % de remise sur le jeu Cities XL Platinum
Valable jusqu'au 24 mai
