S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Les vieilles machines virtuelles Java supprimées automatiquement d'Ubuntu

Pas de kill switch, mais une mise à jour fantôme

Même si la popularité de la distribution Linux Ubuntu semble décroitre, elle est aujourd’hui l’une des plus connues et utilisées. Canonical, qui se tient derrière Ubuntu, a pourtant pris une décision qui pourrait écorner cette popularité : supprimer un paquet logiciel sur un grand nombre de machines. La raison invoquée ? La sécurité.

ubuntu

Le rachat de Sun par Oracle a provoqué de nombreux changements, dont l’un particulièrement important intervenu en aout dernier : la fin de la Distributor License for Java pour les systèmes d’exploitation. En clair, les fournisseurs de systèmes d’exploitation n’avaient plus la possibilité de distribuer eux-mêmes les paquets Java Development Kit (JDK). Oracle souhaite maitriser en effet la distribution de la machine virtuelle Java.

Sur Ubuntu, comme sur d’autres distributions Linux, on trouve la version libre OpenJDK de cette machine virtuelle, mais ses capacités ne sont pas tout à fait les mêmes que celle du JDK classique. De fait, des utilisateurs installent cette dernière depuis plusieurs mois, sans se rendre compte que la dernière révision date du mois d’août et qu’elle n’est plus mise à jour suite au retrait de la Distributor License.

Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fera donc sous la forme d’une mise à jour fantôme, mais la date exacte reste encore à déterminer. Une décision équivalente à celle déjà prise par les  développeurs de Debian.

Ubuntu 11.10 ne contient déjà plus le JDK car cette version est sortie après la décision d’Oracle. Pour les autres cependant, la situation les concerne, et trois moutures du système sont impactées :
  • Ubuntu 10.04 LTS (Lucid Lynx)
  • Ubuntu 10.10 (Maverick Meerkat)
  • Ubuntu 11.04 (Natty Narwhal)
Mais pourquoi un tel nettoyage par le vide ? Marc Deslauriers de chez Canonical explique que la décision n’était pas facile mais qu’elle avait le mérite de répondre à un problème réel. Les failles du JDK étaient déjà exploitées et il n’existait pas de mise à jour. Plutôt que de laisser les failles en place, Canonical a choisi de supprimer un composant jugé désormais comme dangereux. Désormais, il existe deux solutions pour disposer de Java : installer l’OpenJDK depuis le dépôt principal d’Ubuntu, ou installer manuellement le logiciel depuis le site d’Oracle.

Évidemment, la problématique soulevée n’est pas tant celle de la sécurité que de la décision unilatérale de Canonical au sujet du retrait d’un paquet. Les raisons qui ont poussé l’éditeur à procéder ainsi sont compréhensibles, mais certains utilisateurs risquent de ne pas apprécier une décision qui a été prise pour eux. Un comportement plus proche des plateformes mobiles que du PC classique. Mais comme on a pu le voir récemment avec le Windows Store de Windows 8, cette possibilité est inhérente au fonctionnement des dépôts centralisés : le contrôle du dépôt entraîne celui des composants qui s’y trouvent.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/12/2011 à 09:29

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 214 commentaires

Avatar de MdMax INpactien
MdMax Le lundi 19 décembre 2011 à 11:02:24
Inscrit le lundi 14 mai 07 - 2960 commentaires
C'est vrai qu'on peut toujours refuser une mise à jour. Mais si j'utilisais encore le paquet de Sun ou Oracle, est-ce qu'il y aurait eu un avertissement spécifique de la part du gestionnaire de paquets ?

Du genre "attention, cette mise à jour ne vous donne pas une nouvelle version mais efface la version que vous avez".

J'approuve totalement la décision de Canonical de virer un truc obsolète et troué, mais là c'est PCI qui m'informe et pas mon OS. Cela m'effraye un peu.
Avatar de CaptainDangeax INpactien
CaptainDangeax Le lundi 19 décembre 2011 à 11:02:25
Inscrit le mercredi 7 juin 06 - 3139 commentaires
On parle du JDK ici, pas du JRE. Alors on fait les 4 cas possibles : l'utilisateur de base ou le développeur, utilise ou le JDK ou le JRE.
Donc l'utilisateur de base avec le JRE, no souçaille.
Le développeur, avec le JRE ou le JDK, il est au courant de ce qu'il fait.
L'utilisateur avec le JDK qui se retrouve ennuyé après une mise à jour, à mon avis, c'est pas la première fois que ça lui arrive d'avoir des problèmes, vu qu'il utilise le JDK sans raison...
Avatar de seb2411 INpactien
seb2411 Le lundi 19 décembre 2011 à 11:02:41
Inscrit le vendredi 24 octobre 08 - 3061 commentaires


Sauf que pour le commun des mortel, laisser les mises à jour ne mode manuel ça veut simplement dire que tous les deux jours ils vont devoir cliquer sur "mise à jour". Alors oui, ils le font parce que tu leur à expliqué qu'il fallait le faire. Mais, parfois, parce qu'ils ont la flemme et/ou que de toute façon ça ne change rien vu qu'ils n'ont pas les compétences pour comprendre les releases notes des paquets, tu paramètre ubuntu pour qu'il fasse les mises à jour AUTOMATIQUEMENT. Et j'en connais pas mal des machines qui sont paramétrées comme ça, ce qui est loin d’être idiot vu que globalement les mises à jour il faut toujours les faire.

Bref, les mises à jour automatique, ça existe, c'est pas le paramètre par défaut, mais ça existe et c'est TRES bien. Sauf quand une bonne d'idiot décide de casser un truc qui fonctionne et de le faire en toute connaissance de cause.

Encore une chose, grâce à PCI, on sait maintenant qu'il ne faut pas faire cette mise à jour. Mais sans cet article, je me serai fait avoir comme tout le monde et mes applis java ne fonctionnerai plus sans que j'ai la plus petite idée du pourquoi de la chose.

En même temps il vaut mieux installer l'OpenJDK depuis un certains temps déjà. Le problème avec Java ne date pas d'hier.
Avatar de joss17 INpactien
joss17 Le lundi 19 décembre 2011 à 11:06:07
Inscrit le mardi 24 juin 08 - 1057 commentaires

Bref, les mises à jour automatique, ça existe, c'est pas le paramètre par défaut, mais ça existe et c'est TRES bien. Sauf quand une bonne d'idiot décide de casser un truc qui fonctionne et de le faire en toute connaissance de cause.

Que tu ne soit pas d'accord avec canonical sur la manière dont ils gèrent leurs dépôts c'est tout à fait compréhensible. Moi même quand j'ai vu qu'il intégraient de plus en plus de privateur j'ai changé de crémerie, justement pour éviter ce genre de problèmes (logiciels supprimés, non maintenus ou non ré-installables)

En tout cas tu es libre de stopper les mise à jour, voir de changer l'adresse de tes dépôts pour en utiliser d'autres.

a+
Avatar de nikon56 INpactien
nikon56 Le lundi 19 décembre 2011 à 11:07:49
Inscrit le lundi 2 juillet 07 - 5686 commentaires

Sauf que canonical contrôle uniquement ses dépôts, et pas les machines qui s'y connectent (par exemple il est tout à fait possible de désactiver la mise à jour sur le paquet sun-java), alors que windows 8 contrôle les machines clientes (le kill switch ça n'est pas pareil qu'une mise à jour désactivable).

a+

oui et non.

la facon de faire est differente, mais le resultat est le meme (voir meme pire sous ubuntu).

en effet, le kill switch a l'avantage (meme si le principe est plus que contestable du point de vue ethique, et inacceptable selon moi) de laisser une machine propre, et pas un paquet installé virtuellement.

mais cela tient a la façon dont apt fonctionne, qui permet d'installer de nouveaux paquets, mais pas de les supprimer (sauf a installer un paquet qui le remplace et a faire le menage derriere).

du coup, pour le faire ont se retrouve avec ce genre de bidouilles, qui si elles ne sont pas bien gérées, provoquent des effets de bords, et de toute facon ne sont pas clean.

cela tient a la conception meme des deux systemes.

sinon, on peut en effet verouiller un paquet, mais je doute que la majorité des utilisateurs d'ubuntu en soient capables, surout si ils ne sont pas prevenus du fait que cette mise a jour est un fake destiné a supprimer des fonctionnalités
Avatar de benjarobin INpactien
benjarobin Le lundi 19 décembre 2011 à 11:08:18
Inscrit le dimanche 17 décembre 06 - 1194 commentaires


Bof, suffit qu'lis mettent l'openJDK en dépendances au nouveau paquet vide pour que ça passe sans soucis !

En effet, avant de râler il faut mieux se renseigner. Il force juste le switch vers open-jdk
Avatar de Commentaire_supprime INpactien
Commentaire_supprime Le lundi 19 décembre 2011 à 11:08:52
Inscrit le vendredi 31 octobre 08 - 27132 commentaires
Et une raison de plus de passer au tout Fedora chez moi !



Plus sérieusement, dans l'installation par défaut d'Ubuntu, elle fait tourner quoi, la JRE ? Parce que pour moi, si ce sont des applis dont je n'ai rien à secouer, ça changera rien.

En toute franchise, je préfère avoir quelques bugnes parce qu'on me remplace une appli transformée en passoire point de vue sécu plutôt que de voir mes bécanes hackées par une gougnafier.

Et puis, quand une appli libre permet, à peu de choses près, le même niveau de performance et de fonctionnalités que son équivalent proprio, je préfère l'appli libre, ne fût-ce que pour éviter ce genre de gag. Gnash sur Fedora 16, par exemple, ça tourne suffisamment bien pour que je n'ai pas besoin de me casser le culte avec la version d'Adobe.

Je vais voir si je n'ai pas Open JDK de déjà installé, on ne sait jamais.
Avatar de seb2411 INpactien
seb2411 Le lundi 19 décembre 2011 à 11:09:15
Inscrit le vendredi 24 octobre 08 - 3061 commentaires
En plus Java n'est disponible que dans les dépots partenaires d'Ubuntu qui ne sont pas activé par défaut il me semble. Donc c'est normalement l'OpenJdk qui est fournit par défaut.
Avatar de Hoper INpactien
Hoper Le lundi 19 décembre 2011 à 11:13:12
Inscrit le lundi 3 juillet 06 - 902 commentaires

Exemple bête : ubuntu est sur les machines de la gendarmerie nationale. Ces machines se font pirater parce qu'ubuntu n'a pas pris cette décision. Tu as une idée du retour professionnel sur la qualité de cette distribution ?


Ma première réaction à été d'exploser de rire, mais en fait non. C'est bien trop rageant de voir autant de gens tomber dans ce panneau. "C'est pour ta sécurité". Tout pareil que "c'est pour luter contre la pédophilie". La gadgeto phrase qui te permet de tout faire passer. Et bien vas-y, continu sur ta lancée, précipite toi dans un magasin Apple et béni l'autre enfoiré '(qui doit bruler en enfer à l'heure qu'il est), car lui aussi prenait bien soin de toi. "C'est pour ton bien" qu'il choisissait tes applications, c'était "pour ta sécurité". La phrase magique contre laquelle personne n'ose plus rien dire, au point qu'on devrait remercier chaleureusement des mecs qui en train de te verrouiller des fers au poignets. Allez tous vous faire foutre.

Je préfère encore laisser tourner des logiciels peu sécurisés plutôt que d’accepter l'idée qu'un autre se permette de choisir ce que je fais sur ma machine. surtout, j'ai la prétention de croire que si on m'explique les choses normalement, j'aurai suffisamment de neurones pour prendre les bonnes décisions. Mais évidement, pour que je puisse y réfléchir, il faut donc m'expliquer le soucis, pas prendre d’office la décision à ma place.

Tu pense que l'admin informatique de ta gendarmerie et si con que tu dois décider à sa place ?.
Avatar de nikon56 INpactien
nikon56 Le lundi 19 décembre 2011 à 11:16:32
Inscrit le lundi 2 juillet 07 - 5686 commentaires


Ma première réaction à été d'exploser de rire, mais en fait non. C'est bien trop rageant de voir autant de gens tomber dans ce panneau. "C'est pour ta sécurité". Tout pareil que "c'est pour luter contre la pédophilie". La gadgeto phrase qui te permet de tout faire passer. Et bien vas-y, continu sur ta lancée, précipite toi dans un magasin Apple et béni l'autre enfoiré '(qui doit bruler en enfer à l'heure qu'il est), car lui aussi prenait bien soin de toi. "C'est pour ton bien" qu'il choisissait tes applications, c'était "pour ta sécurité". La phrase magique contre laquelle personne n'ose plus rien dire, au point qu'on devrait remercier chaleureusement des mecs qui en train de te verrouiller des fers au poignets. Allez tous vous faire foutre.

Je préfère encore laisser tourner des logiciels peu sécurisés plutôt que d’accepter l'idée qu'un autre se permette de choisir ce que je fais sur ma machine. surtout, j'ai la prétention de croire que si on m'explique les choses normalement, j'aurai suffisamment de neurones pour prendre les bonnes décisions. Mais évidement, pour que je puisse y réfléchir, il faut donc m'expliquer le soucis, pas prendre d’office la décision à ma place.

Tu pense que l'admin informatique de ta gendarmerie et si con que tu dois décider à sa place ?.

+1, je veut pouvoir installer et gerer ma machine comme je l'entend, meme si j'ai 250 000 failles de securité, je veut etre maitre de ma machine, et pas que l'on m'impose des choses "pour mon bien", "parce que c'est mieux comme ca" etc...

c'est MA machine, j'en fait ce que je veut, c'est ca le principe de la GNU.

si j'avais voulus me voir imposé des truc, j'aurais pris windows ou mac OS
;