S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Les vieilles machines virtuelles Java supprimées automatiquement d'Ubuntu

Pas de kill switch, mais une mise à jour fantôme

Même si la popularité de la distribution Linux Ubuntu semble décroitre, elle est aujourd’hui l’une des plus connues et utilisées. Canonical, qui se tient derrière Ubuntu, a pourtant pris une décision qui pourrait écorner cette popularité : supprimer un paquet logiciel sur un grand nombre de machines. La raison invoquée ? La sécurité.

ubuntu

Le rachat de Sun par Oracle a provoqué de nombreux changements, dont l’un particulièrement important intervenu en aout dernier : la fin de la Distributor License for Java pour les systèmes d’exploitation. En clair, les fournisseurs de systèmes d’exploitation n’avaient plus la possibilité de distribuer eux-mêmes les paquets Java Development Kit (JDK). Oracle souhaite maitriser en effet la distribution de la machine virtuelle Java.

Sur Ubuntu, comme sur d’autres distributions Linux, on trouve la version libre OpenJDK de cette machine virtuelle, mais ses capacités ne sont pas tout à fait les mêmes que celle du JDK classique. De fait, des utilisateurs installent cette dernière depuis plusieurs mois, sans se rendre compte que la dernière révision date du mois d’août et qu’elle n’est plus mise à jour suite au retrait de la Distributor License.

Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fera donc sous la forme d’une mise à jour fantôme, mais la date exacte reste encore à déterminer. Une décision équivalente à celle déjà prise par les  développeurs de Debian.

Ubuntu 11.10 ne contient déjà plus le JDK car cette version est sortie après la décision d’Oracle. Pour les autres cependant, la situation les concerne, et trois moutures du système sont impactées :
  • Ubuntu 10.04 LTS (Lucid Lynx)
  • Ubuntu 10.10 (Maverick Meerkat)
  • Ubuntu 11.04 (Natty Narwhal)
Mais pourquoi un tel nettoyage par le vide ? Marc Deslauriers de chez Canonical explique que la décision n’était pas facile mais qu’elle avait le mérite de répondre à un problème réel. Les failles du JDK étaient déjà exploitées et il n’existait pas de mise à jour. Plutôt que de laisser les failles en place, Canonical a choisi de supprimer un composant jugé désormais comme dangereux. Désormais, il existe deux solutions pour disposer de Java : installer l’OpenJDK depuis le dépôt principal d’Ubuntu, ou installer manuellement le logiciel depuis le site d’Oracle.

Évidemment, la problématique soulevée n’est pas tant celle de la sécurité que de la décision unilatérale de Canonical au sujet du retrait d’un paquet. Les raisons qui ont poussé l’éditeur à procéder ainsi sont compréhensibles, mais certains utilisateurs risquent de ne pas apprécier une décision qui a été prise pour eux. Un comportement plus proche des plateformes mobiles que du PC classique. Mais comme on a pu le voir récemment avec le Windows Store de Windows 8, cette possibilité est inhérente au fonctionnement des dépôts centralisés : le contrôle du dépôt entraîne celui des composants qui s’y trouvent.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/12/2011 à 09:29

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 214 commentaires

Avatar de Commentaire_supprime INpactien
Commentaire_supprime Le lundi 19 décembre 2011 à 14:38:00
Inscrit le vendredi 31 octobre 08 - 27154 commentaires


En même temps, c'est aussi ce qui as fait le succès d'Ubuntu.

Parce qu'il faut voir les choses en face, se priver de certains logiciels entraine de facto l'impossibilité ou la difficulté de lire certains formats. Et de fait risque de condamner l'existence même de Linux.

Par exemple, c'est bien gentil de ne pas proposer flash dans les dépots. Mais peut t'on réellement surfer de nos jours sans ce plugin ? Alors si la plupart des utilisateurs doivent se taper l'installation manuelle, autant proposer un paquet pour le faire.



D'autant plus que les alternatives libres :

1) n'existent pas toujours
2) sont parfois nettement moins performantes, au point, ou les deux.

Pour Flash, Gnash, l'alternative libre, ne marche correctement que sur ma Fedora 16 chez moi. Pourtant, ça fait depuis plusieurs années que le paquet existe mais il marchait tellement de travers jusqu'à cette date que je préférais toujours le flahsplayer d'Adobe à la place.
Avatar de gouessej INpactien
gouessej Le lundi 19 décembre 2011 à 14:38:21
Inscrit le dimanche 8 août 10 - 361 commentaires


SURTOUT dans le cadre d'une distrib qui se veut grand public !!!!

Comment va réagir un utilisateur lambda qui se trouve sans JVM et dont le gestionnaire de paquetages lui dit que tout va bien dans le meilleur des mondes? Canonical aurait pu trouver une autre solution. Celle-ci n'est satisfaisante pour personne.

Sauf si ils changent les dépendances des paquets actuels vers la JVM d'Oracle pour l'OpenJDK, et utilisent intelligemment le champs "incompatible avec".


Quelqu'un sait quelque chose à ce sujet ?


Parce que pour l'instant, il est quand même utile de rappeler qu'il ne s'est STRICTEMENT RIEN passé !!!

Ce n'est pas si simple, même Minecraft est connu pour mal fonctionner avec OpenJDK et ça c'est de la faute du développeur (qui fréquentait javagaming.org comme moi). Cela peut très bien se passer sans souci pour de nombreuses applications mais je maintiens que la décision de Canonical est précipitée. Il aurait fallu laisser le temps aux développeurs de préparer cette transition.

Edité par gouessej le lundi 19 décembre 2011 à 14:42
Avatar de 127.0.0.1 INpactien
127.0.0.1 Le lundi 19 décembre 2011 à 14:39:38
Inscrit le mercredi 29 avril 09 - 13213 commentaires
Question : est-ce que Canonical fait des mises à jour fantôme pour tous les softs du dépôt qui ont une faille connue ?
Avatar de sr17 INpactien
sr17 Le lundi 19 décembre 2011 à 14:40:08
Inscrit le lundi 26 décembre 05 - 12070 commentaires


Je crois que canonical aussi. C'est pour ça qu'ils se permettent ce genre de chose, pour ça aussi qu'ils ont imposés des changements très important dans les interfaces graphiques etc. Et c'est la raison pour laquelle li y a tant d'utilisateurs qui abandonnent (et abandonneront) la distribution. Encore une fois, ils faudra pas qu'ils se demandent pourquoi cette distrib s'est cassé la gueule après avoir été unanimement reconnue et choisie.


Pour le changement d'interface, je suis d'accord. Ce qu'ils ont fait est idiot. Complètement idiot.

Espérons qu'ils changent d'avis pour la 12.04. Ou tout au moins qu'ils proposent dans les dépôts d'installer MATE le fork de l'environnement de gnome 2.x

De toute façon, devant la fuite des utilisateurs, ils finiront bien par en revenir de leur interface Unity.

On voit par exemple que Linux Mint propose l'alternative entre Gnome Shell et MATE, le fork de l'environnement Gnome 2.

Avatar de sr17 INpactien
sr17 Le lundi 19 décembre 2011 à 14:42:45
Inscrit le lundi 26 décembre 05 - 12070 commentaires
Question : est-ce que Canonical fait des mises à jour fantôme pour tous les softs du dépôt qui ont une faille connue ?


Non, ils proposent des correctifs.

Mais pour le paquet OpenJDK, si on a bien compris, c'est un problème de licence qui empêche de le faire.
Avatar de Gurney INpactien
Gurney Le lundi 19 décembre 2011 à 14:46:05
Inscrit le mardi 1 septembre 09 - 151 commentaires


Pour le changement d'interface, je suis d'accord. Ce qu'ils ont fait est idiot. Complètement idiot.

Espérons qu'ils changent d'avis pour la 12.04. Ou tout au moins qu'ils proposent dans les dépôts d'installer MATE le fork de l'environnement de gnome 2.x

De toute façon, devant la fuite des utilisateurs, ils finiront bien par en revenir de leur interface Unity.

On voit par exemple que Linux Mint propose l'alternative entre Gnome Shell et MATE, le fork de l'environnement Gnome 2.



Ben voilà. On a donc Mint avec Mate/Shell par défaut, Debian avec ce que tu veux, Fedora avec Gnome2, encore une autre avec KDE, je sais pas laquelle avec Enlighted, et Ubuntu avec Unity.

Pick your choice. Welcome to the FOSS world.

Et si tu veux absolument Ubuntu sans Unity, ben c'est possible.

Je capte pas, vraiment. C'est comme le débat sur les logiciels installés par défaut dans la distrib...

Pour ma part, la seule chose que je reproche à Ubuntu c'est d'avoir proposé Unity en premier (Gnome2 étant toujours présent) lors d'une mise à jour de la 10.10. Après c'est leur distrib, ils font ce qu'ils veulent.

Et les choix techniques d'Unity (Compiz/Nux et Metacity/Qt pour la 2D) sont pas mauvais.
Avatar de joss17 INpactien
joss17 Le lundi 19 décembre 2011 à 14:50:30
Inscrit le mardi 24 juin 08 - 1057 commentaires


Non, ils proposent des correctifs.

Mais pour le paquet OpenJDK sun-java, si on a bien compris, c'est un problème de licence qui empêche de le faire.

Avatar de Gurney INpactien
Gurney Le lundi 19 décembre 2011 à 14:50:39
Inscrit le mardi 1 septembre 09 - 151 commentaires

Comment va réagir un utilisateur lambda qui se trouve sans JVM et dont le gestionnaire de paquetages lui dit que tout va bien dans le meilleur des mondes? Canonical aurait pu trouver une autre solution. Celle-ci n'est satisfaisante pour personne.


Sauf qu'on ne sait pas encore dans les détails ce qu'ils vont faire.

Je réitère ma question : comment ça se passerait si on supprime un paquet dont dépendent d'autres paquets. Si je suis pas complètement bouché, la ligne de dépendance est supprimée.

C'est pas vraiment une solution non plus.

Et je réitère mon autre question :
Est-ce qu'on peut pas jouer avec les dépendances de paquets et autres "incompatible avec" pour faire ça intelligemment et proposer une OpenJDK (seule solution disponible désormais) en remplacement ?
Avatar de sr17 INpactien
sr17 Le lundi 19 décembre 2011 à 14:50:56
Inscrit le lundi 26 décembre 05 - 12070 commentaires

Comment va réagir un utilisateur lambda qui se trouve sans JVM et dont le gestionnaire de paquetages lui dit que tout va bien dans le meilleur des mondes? Canonical aurait pu trouver une autre solution. Celle-ci n'est satisfaisante pour personne.


Ca, on ne sais pas. La logique voudrait effectivement qu'on prévienne au moins l'utilisateur. Mais c'est peut être ce qui est prévu.

Ce n'est pas si simple, même Minecraft est connu pour mal fonctionner avec OpenJDK et ça c'est de la faute du développeur (qui fréquentait javagaming.org comme moi). Cela peut très bien se passer sans souci pour de nombreuses applications mais je maintiens que la décision de Canonical est précipitée. Il aurait fallu laisser le temps aux développeurs de préparer cette transition.


En même temps, il y a un problème de failles de sécurité qui présente un danger important. C'est pourquoi il est urgent d'agir.

Après tout, Ubuntu aurait pu laisser pisser et laisser les failles. Il faut apprécier le fait qu'ils ont eu le courage de faire le nécessaire pour la sécurité de la distro.


Avatar de gouessej INpactien
gouessej Le lundi 19 décembre 2011 à 14:52:21
Inscrit le dimanche 8 août 10 - 361 commentaires

Java : Code once, debug everywhere.

Je fais du Java depuis 2002. J'ai réussi à exécuter Frag Island écrit en 1997 avec une JVM 1.6 update 30 qui a quelques semaines. Désolé mais quelques développeurs Java rodent dans le coin, vous ne pouvez pas balancer des énormités sans être repris par celles et ceux qui savent de quoi ils parlent.
;