Les vieilles machines virtuelles Java supprimées automatiquement d'Ubuntu

Même si la popularité de la distribution Linux Ubuntu semble décroitre, elle est aujourd’hui l’une des plus connues et utilisées. Canonical, qui se tient derrière Ubuntu, a pourtant pris une décision qui pourrait écorner cette popularité : supprimer un paquet logiciel sur un grand nombre de machines. La raison invoquée ? La sécurité.


Le rachat de Sun par Oracle a provoqué de nombreux changements, dont l’un particulièrement important intervenu en aout dernier : la fin de la Distributor License for Java pour les systèmes d’exploitation. En clair, les fournisseurs de systèmes d’exploitation n’avaient plus la possibilité de distribuer eux-mêmes les paquets Java Development Kit (JDK). Oracle souhaite maitriser en effet la distribution de la machine virtuelle Java.

Sur Ubuntu, comme sur d’autres distributions Linux, on trouve la version libre OpenJDK de cette machine virtuelle, mais ses capacités ne sont pas tout à fait les mêmes que celle du JDK classique. De fait, des utilisateurs installent cette dernière depuis plusieurs mois, sans se rendre compte que la dernière révision date du mois d’août et qu’elle n’est plus mise à jour suite au retrait de la Distributor License.

Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fera donc sous la forme d’une mise à jour fantôme, mais la date exacte reste encore à déterminer. Une décision équivalente à celle déjà prise par les  développeurs de Debian.

Ubuntu 11.10 ne contient déjà plus le JDK car cette version est sortie après la décision d’Oracle. Pour les autres cependant, la situation les concerne, et trois moutures du système sont impactées :

• Ubuntu 10.04 LTS (Lucid Lynx)
• Ubuntu 10.10 (Maverick Meerkat)
• Ubuntu 11.04 (Natty Narwhal)

Mais pourquoi un tel nettoyage par le vide ? Marc Deslauriers de chez Canonical explique que la décision n’était pas facile mais qu’elle avait le mérite de répondre à un problème réel. Les failles du JDK étaient déjà exploitées et il n’existait pas de mise à jour. Plutôt que de laisser les failles en place, Canonical a choisi de supprimer un composant jugé désormais comme dangereux. Désormais, il existe deux solutions pour disposer de Java : installer l’OpenJDK depuis le dépôt principal d’Ubuntu, ou installer manuellement le logiciel depuis le site d’Oracle.

Évidemment, la problématique soulevée n’est pas tant celle de la sécurité que de la décision unilatérale de Canonical au sujet du retrait d’un paquet. Les raisons qui ont poussé l’éditeur à procéder ainsi sont compréhensibles, mais certains utilisateurs risquent de ne pas apprécier une décision qui a été prise pour eux. Un comportement plus proche des plateformes mobiles que du PC classique. Mais comme on a pu le voir récemment avec le Windows Store de Windows 8, cette possibilité est inhérente au fonctionnement des dépôts centralisés : le contrôle du dépôt entraîne celui des composants qui s’y trouvent.

Le 19 décembre 2011 à 09:29 (24 557 lectures)

Tweeter

Actu Précédente Actu Suivante