S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Les vieilles machines virtuelles Java supprimées automatiquement d'Ubuntu

Pas de kill switch, mais une mise à jour fantôme

Même si la popularité de la distribution Linux Ubuntu semble décroitre, elle est aujourd’hui l’une des plus connues et utilisées. Canonical, qui se tient derrière Ubuntu, a pourtant pris une décision qui pourrait écorner cette popularité : supprimer un paquet logiciel sur un grand nombre de machines. La raison invoquée ? La sécurité.

ubuntu

Le rachat de Sun par Oracle a provoqué de nombreux changements, dont l’un particulièrement important intervenu en aout dernier : la fin de la Distributor License for Java pour les systèmes d’exploitation. En clair, les fournisseurs de systèmes d’exploitation n’avaient plus la possibilité de distribuer eux-mêmes les paquets Java Development Kit (JDK). Oracle souhaite maitriser en effet la distribution de la machine virtuelle Java.

Sur Ubuntu, comme sur d’autres distributions Linux, on trouve la version libre OpenJDK de cette machine virtuelle, mais ses capacités ne sont pas tout à fait les mêmes que celle du JDK classique. De fait, des utilisateurs installent cette dernière depuis plusieurs mois, sans se rendre compte que la dernière révision date du mois d’août et qu’elle n’est plus mise à jour suite au retrait de la Distributor License.

Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fera donc sous la forme d’une mise à jour fantôme, mais la date exacte reste encore à déterminer. Une décision équivalente à celle déjà prise par les  développeurs de Debian.

Ubuntu 11.10 ne contient déjà plus le JDK car cette version est sortie après la décision d’Oracle. Pour les autres cependant, la situation les concerne, et trois moutures du système sont impactées :
  • Ubuntu 10.04 LTS (Lucid Lynx)
  • Ubuntu 10.10 (Maverick Meerkat)
  • Ubuntu 11.04 (Natty Narwhal)
Mais pourquoi un tel nettoyage par le vide ? Marc Deslauriers de chez Canonical explique que la décision n’était pas facile mais qu’elle avait le mérite de répondre à un problème réel. Les failles du JDK étaient déjà exploitées et il n’existait pas de mise à jour. Plutôt que de laisser les failles en place, Canonical a choisi de supprimer un composant jugé désormais comme dangereux. Désormais, il existe deux solutions pour disposer de Java : installer l’OpenJDK depuis le dépôt principal d’Ubuntu, ou installer manuellement le logiciel depuis le site d’Oracle.

Évidemment, la problématique soulevée n’est pas tant celle de la sécurité que de la décision unilatérale de Canonical au sujet du retrait d’un paquet. Les raisons qui ont poussé l’éditeur à procéder ainsi sont compréhensibles, mais certains utilisateurs risquent de ne pas apprécier une décision qui a été prise pour eux. Un comportement plus proche des plateformes mobiles que du PC classique. Mais comme on a pu le voir récemment avec le Windows Store de Windows 8, cette possibilité est inhérente au fonctionnement des dépôts centralisés : le contrôle du dépôt entraîne celui des composants qui s’y trouvent.
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/12/2011 à 09:29

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 214 commentaires

Avatar de Gurney INpactien
Gurney Le lundi 19 décembre 2011 à 14:22:25
Inscrit le mardi 1 septembre 09 - 151 commentaires
Sans compter les effets de bord : les gestionnaires de paquets vont rapporter que Java est installé et à jour (puisqu'il s'agit d'un paquet vide). Bonjour le bordel....



Et les conséquences d'une suppression de paquet niveau dépendance ?

Je passe sur les oeillères, Ô détenteur de toute vérité absolue et incontestable.
Avatar de joss17 INpactien
joss17 Le lundi 19 décembre 2011 à 14:25:41
Inscrit le mardi 24 juin 08 - 1057 commentaires
Bon, alors on va essayer de faire simple :

Ubuntu me dit "mise à jour de Java disponible, voulez-vous appliquer la mise à jour ?", j'accepte. Java est supprimé. C'est mensonger, anormal, et inadmissible.

C'est quand même facile à comprendre, non ?

Si, en revanche, Ubuntu me disait "suppression de Java recommandée pour des raisons de sécurité", il n'y aurait aucun problème, même si c'était coché par défaut.

+1
De toute manière techniquement ça n'est pas encore fait, on va voir dans quelques jours la forme que ça va prendre réellement.

De toute manière pour moi l'erreur de canonical a été de proposer dans leurs dépôts des logiciels privateurs sur lesquels ils n'ont pas la main. Il suffit que l'éditeur qui a les droit les plante pour que ça tourne au cauchemar. Il se peut très bien qu'on vive la même chose avec les firmware à deux balles, les pilotes graphiques privateurs, les flash, skype et compagnie.

a+
Avatar de sr17 INpactien
sr17 Le lundi 19 décembre 2011 à 14:26:10
Inscrit le lundi 26 décembre 05 - 12077 commentaires


Toi aussi tu fais parti des gens qui font semblant de pas comprendre ?
qu'une mise à jour introduise une régression, c'est sur que c'est assez courant en informatique. Sauf que normalement, ces régressions, elles sont INVOLONTAIRES. (Et après on gueule pour que le fournisseur fasse une nouvelle mise à jour pour corriger les bugs introduits dans la précédentes etc).

La le soucis c'est que c'est un pas "petit bug", c'est le retrait pure et simple d'une application "middleware" nécéssaire au bon fonctionement de tout ce qui est au dessus, et que surtout cette régression est introduite de façon volontaire, ce qui change quand même pas mal de choses.

Ils auraient aussi pu faire un gros doigt à la licence et continuer de distribuer les mises à jour de java dans leur dépots. La oui, canonical serait fortement remonté dans mon estime.


Malheureusement, personne ne peut se permettre d'ignorer la loi. Et Oracle aurait pu faire condamner cannonical à payer des sommes astronomiques, ce qui aurait pu condamner l'existence même d'Ubuntu.

Est ce que selon toi, garder un logiciel criblé de failles de sécurité béantes aurait été une solution acceptable ? Toute distribution se voulant sérieuse se doit d'accorder une attention particulière à la sécurité. Et tous les utilisateurs ne sont pas forcément au courant de tout. Donc la décision prise est la bonne.

Pourquoi ne pas blâmer les vrais responsables de cette situation plutôt que d'accabler Ubuntu pour une décision qu'ils ont du prendre contraints et forcés ?
Avatar de Gurney INpactien
Gurney Le lundi 19 décembre 2011 à 14:29:19
Inscrit le mardi 1 septembre 09 - 151 commentaires

+1
De toute manière techniquement ça n'est pas encore fait, on va voir dans quelques jours la forme que ça va prendre réellement.

De toute manière pour moi l'erreur de canonical a été de proposer dans leurs dépôts des logiciels privateurs sur lesquels ils n'ont pas la main. Il suffit que l'éditeur qui a les droit les plante pour que ça tourne au cauchemar. Il se peut très bien qu'on vive la même chose avec les firmware à deux balles, les pilotes graphiques privateurs, les flash, skype et compagnie.

a+


Oui enfin c'est un peu la raison d'être d'Ubuntu, de packager du soft closed source pour abaisser un peu la barrière technique...
Avatar de Hoper INpactien
Hoper Le lundi 19 décembre 2011 à 14:32:52
Inscrit le lundi 3 juillet 06 - 902 commentaires


Forcément si t'es si efficace pour trouver l'info, tu dois vachement avoir l'impression de subir... il y y a un lien dans l'article vers l'annonce canonical qui pointe sur le security advisory Oracle.


Merci. J'ai effectivement raté ce lien (mais vu les réactions, j'ai pas du être le seul hein). Donc les problèmes soulevés sont la :

http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html

Comme d'hab, pas grand chose à craindre derrière un FW, mais c'est effectivement plutôt sérieux. Du coup, c'était pour moi une raison de plus de faire apparaitre un énorme popup pour expliquer la situation, et pourquoi pas pour faire un peu la promotion des solutions libres :p
Avatar de Gurney INpactien
Gurney Le lundi 19 décembre 2011 à 14:33:05
Inscrit le mardi 1 septembre 09 - 151 commentaires

Toute distribution se voulant sérieuse se doit d'accorder une attention particulière à la sécurité. Et tous les utilisateurs ne sont pas forcément au courant de tout. Donc la décision prise est la bonne.


SURTOUT dans le cadre d'une distrib qui se veut grand public !!!!
Avatar de gouessej INpactien
gouessej Le lundi 19 décembre 2011 à 14:33:24
Inscrit le dimanche 8 août 10 - 361 commentaires


Tu veux bien laisser les gens sérieux discuter entre eux sérieusement stp ? Si tu avait lu l'article, tu aurai appris que justement, les openjdk et la jvm de sun sont loin de faire la même chose. Donc, coté utilisateur c'est :

- Un jour tout fonctionne
- Une mise à jour (automatique ?) à lieu et le lendemain (ou la semaine suivante parce que peut etre que l'appli il l'a lance pas tous les jours) son application fonctionne plus. Et la oui, il va pouvoir se pointer sur un forum en expliquant que "ca marchait avant, il a touché à rien, et ça marche plus". Sympa pour lui, sympa pour les types dérières qui vont essayer de comprendre ce qui à pu se passer entre le moment ou ça fonctionnait et le mpement ou ça marche plus.

Canonical à été TRES CON sur ce con la, et prétendre le contraire c'est se mettre une sacrée pair d’œillères.

Canonical n'a pas réussit à entrer dans le marché pro (j'ai même des exemples d'appliances qui étaient développés sur ubuntu et qui vont finalement migrer sur des bases redhat etc). Ils vont aussi perdent les particuliers (le mouvement est entamé depuis un moment suite à toutes leurs autres conneries genre la même interface sur pc fixe et tablette etc). Bref, c'est triste de les voir se planter à ce point, mais ils ne pourront s'en prendre qu'a eux.

Je suis en partie d'accord avec vous. Les paquetages dépendant de la JVM d'Oracle ne vont plus fonctionner. Je trouve la "solution" de Canonical foireuse, il aurait été préférable de laisser les derniers paquetages contenant le JRE et le JDK dans les dépots quitte à prévenir les mainteneurs de paquetages et surtout les utilisateurs finaux de la nécessité d'aller chercher la JVM d'Oracle sur le site ou bien de passer à l'OpenJDK. Je trouve surtout que c'est Oracle qui est à blamer.

En revanche, j'utilise les deux tous les jours et elles ne sont pas totalement différentes, loin de là. C'est surtout au niveau de la gestion du son qu'il y a des soucis. Certaines applications très connues fonctionnent mal avec l'OpenJDK et certains pilotes de cartes graphiques, notamment Minecraft.

Je suis assez surpris qu'Ubuntu fonctionne ainsi, cela ne ressemble pas à ce que j'attends d'un système d'exploitation reposant sur des logiciels libres. Mageia Linux ne fonctionne pas ainsi sinon je l'aurais déjà désinstallé.
Avatar de Commentaire_supprime INpactien
Commentaire_supprime Le lundi 19 décembre 2011 à 14:33:48
Inscrit le vendredi 31 octobre 08 - 27155 commentaires


Malheureusement, personne ne peut se permettre d'ignorer la loi. Et Oracle aurait pu faire condamner cannonical à payer des sommes astronomiques, ce qui aurait pu condamner l'existence même d'Ubuntu.

Est ce que selon toi, garder un logiciel criblé de failles de sécurité béantes aurait été une solution acceptable ? Toute distribution se voulant sérieuse se doit d'accorder une attention particulière à la sécurité. Et tous les utilisateurs ne sont pas forcément au courant de tout. Donc la décision prise est la bonne.

Pourquoi ne pas blâmer les vrais responsables de cette situation plutôt que d'accabler Ubuntu pour une décision qu'ils ont du prendre contraints et forcés ?


Dans l'ensemble, d'accord. Et on en revient aux fondamentaux : les logiciels non libres, dits privateurs.

Si une boîte ayant codé et mis en circulation un logiciel sous licence fermée décide du jour au lendemain d'envoyer chier les gens qui lui ont fait confiance, il n'y a pas de possibilité alternative de réutiliser son code.

Sans vouloir faire de propagande, c'est quand même un peu plus rassurant de voir que l'on peut compter sur une communauté pour reprendre un projet en code libre si son initiateur emmerde le monde.

Canonical a fait comme il a pu, mais la pire des solutions aurait été de laisser en l'état un paquet proprio troué de tous les côtés sur les machines des utilisateurs de la distro. 12.04, c'est pas pour tout de suite, et on ne peut guère attendre quatre mois sans rien faire avec ce genre de merde sous le capot.
Avatar de sr17 INpactien
sr17 Le lundi 19 décembre 2011 à 14:34:07
Inscrit le lundi 26 décembre 05 - 12077 commentaires

+1
De toute manière techniquement ça n'est pas encore fait, on va voir dans quelques jours la forme que ça va prendre réellement.

De toute manière pour moi l'erreur de canonical a été de proposer dans leurs dépôts des logiciels privateurs sur lesquels ils n'ont pas la main. Il suffit que l'éditeur qui a les droit les plante pour que ça tourne au cauchemar. Il se peut très bien qu'on vive la même chose avec les firmware à deux balles, les pilotes graphiques privateurs, les flash, skype et compagnie.

a+


En même temps, c'est aussi ce qui as fait le succès d'Ubuntu.

Parce qu'il faut voir les choses en face, se priver de certains logiciels entraine de facto l'impossibilité ou la difficulté de lire certains formats. Et de fait risque de condamner l'existence même de Linux.

Par exemple, c'est bien gentil de ne pas proposer flash dans les dépots. Mais peut t'on réellement surfer de nos jours sans ce plugin ? Alors si la plupart des utilisateurs doivent se taper l'installation manuelle, autant proposer un paquet pour le faire.

Avatar de Gurney INpactien
Gurney Le lundi 19 décembre 2011 à 14:35:25
Inscrit le mardi 1 septembre 09 - 151 commentaires

Je suis en partie d'accord avec vous. Les paquetages dépendant de la JVM d'Oracle ne vont plus fonctionner.


Sauf si ils changent les dépendances des paquets actuels vers la JVM d'Oracle pour l'OpenJDK, et utilisent intelligemment le champs "incompatible avec".


Quelqu'un sait quelque chose à ce sujet ?


Parce que pour l'instant, il est quand même utile de rappeler qu'il ne s'est STRICTEMENT RIEN passé !!!
;