S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Les vieilles machines virtuelles Java supprimées automatiquement d'Ubuntu

Pas de kill switch, mais une mise à jour fantôme

Même si la popularité de la distribution Linux Ubuntu semble décroitre, elle est aujourd’hui l’une des plus connues et utilisées. Canonical, qui se tient derrière Ubuntu, a pourtant pris une décision qui pourrait écorner cette popularité : supprimer un paquet logiciel sur un grand nombre de machines. La raison invoquée ? La sécurité.

ubuntu

Le rachat de Sun par Oracle a provoqué de nombreux changements, dont l’un particulièrement important intervenu en aout dernier : la fin de la Distributor License for Java pour les systèmes d’exploitation. En clair, les fournisseurs de systèmes d’exploitation n’avaient plus la possibilité de distribuer eux-mêmes les paquets Java Development Kit (JDK). Oracle souhaite maitriser en effet la distribution de la machine virtuelle Java.

Sur Ubuntu, comme sur d’autres distributions Linux, on trouve la version libre OpenJDK de cette machine virtuelle, mais ses capacités ne sont pas tout à fait les mêmes que celle du JDK classique. De fait, des utilisateurs installent cette dernière depuis plusieurs mois, sans se rendre compte que la dernière révision date du mois d’août et qu’elle n’est plus mise à jour suite au retrait de la Distributor License.

Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fera donc sous la forme d’une mise à jour fantôme, mais la date exacte reste encore à déterminer. Une décision équivalente à celle déjà prise par les  développeurs de Debian.

Ubuntu 11.10 ne contient déjà plus le JDK car cette version est sortie après la décision d’Oracle. Pour les autres cependant, la situation les concerne, et trois moutures du système sont impactées :
  • Ubuntu 10.04 LTS (Lucid Lynx)
  • Ubuntu 10.10 (Maverick Meerkat)
  • Ubuntu 11.04 (Natty Narwhal)
Mais pourquoi un tel nettoyage par le vide ? Marc Deslauriers de chez Canonical explique que la décision n’était pas facile mais qu’elle avait le mérite de répondre à un problème réel. Les failles du JDK étaient déjà exploitées et il n’existait pas de mise à jour. Plutôt que de laisser les failles en place, Canonical a choisi de supprimer un composant jugé désormais comme dangereux. Désormais, il existe deux solutions pour disposer de Java : installer l’OpenJDK depuis le dépôt principal d’Ubuntu, ou installer manuellement le logiciel depuis le site d’Oracle.

Évidemment, la problématique soulevée n’est pas tant celle de la sécurité que de la décision unilatérale de Canonical au sujet du retrait d’un paquet. Les raisons qui ont poussé l’éditeur à procéder ainsi sont compréhensibles, mais certains utilisateurs risquent de ne pas apprécier une décision qui a été prise pour eux. Un comportement plus proche des plateformes mobiles que du PC classique. Mais comme on a pu le voir récemment avec le Windows Store de Windows 8, cette possibilité est inhérente au fonctionnement des dépôts centralisés : le contrôle du dépôt entraîne celui des composants qui s’y trouvent.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/12/2011 à 09:29

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 214 commentaires

Avatar de benjarobin INpactien
benjarobin Le mardi 20 décembre 2011 à 11:56:55
Inscrit le dimanche 17 décembre 06 - 1193 commentaires
C'est pour cela que j'adore ArchLinux avce leurs dépôts AUR
Avatar de Commentaire_supprime INpactien
Commentaire_supprime Le mardi 20 décembre 2011 à 12:28:59
Inscrit le vendredi 31 octobre 08 - 27132 commentaires
Ou comme msttcorefonts qui télécharge et installe tout seul comme un grand les polices TrueType directement chez Microsoft.




(vérifie si pas installé chez lui à l'insu de son plein gré)

Ouf ! J'ai pas ça chez moi !

Vive les polices libres !
Avatar de brazomyna INpactien
brazomyna Le mardi 20 décembre 2011 à 14:42:05
Inscrit le vendredi 7 octobre 11 - 5272 commentaires
ça c'est un vrai beau paquet de merde qui ne devrait même pas exister

Ben si je dois arbitrer entre ça et un paquet rempli de vide pour squeezer à la hussarde une JVM sans prendre la peine ni te demander ton avis ni de te prévenir de façon claire, mon choix serait très rapidement fait quant aux degrés de "vertu" de l'un et de l'autre.

Concrètement, c'est peut-être pas la plus belle des solutions, mais proposer un paquet capable de downloader la JRE à jour sur le site d'Oracle et l'installer automatiquement aurait sans aucun doute été moins pire que la saloperie dont ils nous ont gratifié là.


Edité par brazomyna le mardi 20 décembre 2011 à 14:44
Avatar de ragoutoutou INpactien
ragoutoutou Le mardi 20 décembre 2011 à 14:51:15
Inscrit le mercredi 25 juillet 07 - 4609 commentaires
Ben si je dois arbitrer entre ça et un paquet rempli de vide pour squeezer à la hussarde une JVM sans prendre la peine ni te demander ton avis ni de te prévenir de façon claire, mon choix serait très rapidement fait quant aux degrés de "vertu" de l'un et de l'autre.


Il y en a un qui pose un problème politique, et l'autre qui n'est même pas juste techniquement et rend l'utilisation de la ditribution périlleux sur un lan fermé.

Concrètement, c'est peut-être pas la plus belle des solutions, mais proposer un paquet capable de downloader la JRE à jour sur le site d'Oracle et l'installer automatiquement aurait sans aucun doute été moins pire que la saloperie dont ils nous ont gratifié là.


Non... techniquement le paquet vide est meilleur qu'un paquet qui fait un DL en dehors du processus standard de gestion des paquets et qui conditionne le succès de l'installation au fait d'arriver à chopper un fichier distant à l'arrache, parceque ça, c'est un coup à te planter la mise à jour sur un parc entier de machines et ce n'est pas facile à contourner pour le sysadmin.

Oracle n'a qu'à faire ses paquets lui-même et à les proposer à la communauté sur son dépôt.




Edité par ragoutoutou le mardi 20 décembre 2011 à 14:54
;