Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Ubuntu «met à jour» le JDK d'Oracle par un paquet vide

kamui57

http://www.pcinpact.com/news/67728-ubuntu-suppression-java-jdk-licence-oracle.htm
Suite à un changement de license du JDK d'Oracle, le paquet ne peut plus être inclus dans les dépôts standard. Le paquet existant n'est donc plus mis à jour.

Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fait donc sous la forme d’une mise à jour fantôme.

Bien que le but soit louable, la méthode m'incite à ne plus faire confiance à Canonical. Une mise à jour c'est un paquet fournissant les mêmes fonctionnalités que l'ancien, un paquet vide comme « mise à jour » pour moi c'est trahir les utilisateurs faisant confiance aux dépôts de Canonical. Comment les logiciels dépendant de ce paquet vont-ils réagir ?

seb24

Yep il vaut mieux laisser un paquet avec de grosse failles et qui n'est plus maintenu. Comme ça tu pourras continuer à faire confiance à Canonical et ton PC pourra s'attraper tout un tas de merdes.

shindz

kamui57 a écrithttp://www.pcinpact.com/news/67728-ubuntu-suppression-java-jdk-licence-oracle.htm
Suite à un changement de license du JDK d'Oracle, le paquet ne peut plus être inclus dans les dépôts standard. Le paquet existant n'est donc plus mis à jour.
Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fait donc sous la forme d’une mise à jour fantôme.
Bien que le but soit louable, la méthode m'incite à ne plus faire confiance à Canonical. Une mise à jour c'est un paquet fournissant les mêmes fonctionnalités que l'ancien, un paquet vide comme « mise à jour » pour moi c'est trahir les utilisateurs faisant confiance aux dépôts de Canonical. Comment les logiciels dépendant de ce paquet vont-ils réagir ?

:lol: la grosse blague :lol:
apres vous viendriez ici crier que "Linux n'est plus securisé " , si tu veux l'avoir sur ta machine eh ben vas le prendre sur le site d'oracle, c'est tres simple et laisse canonical tranquille. Unity n'est plus le bon sujet pour taper sur canonical ou quoi ?

Atem18

kamui57 a écrithttp://www.pcinpact.com/news/67728-ubuntu-suppression-java-jdk-licence-oracle.htm
Suite à un changement de license du JDK d'Oracle, le paquet ne peut plus être inclus dans les dépôts standard. Le paquet existant n'est donc plus mis à jour.
Canonical a donc pris une décision radicale : plutôt que de laisser en place un JDK criblé de failles de sécurité déjà exploitées, les machines vont en être débarrassées. Il ne s’agit pas à proprement parler d’un kill switch, car Ubuntu ne dispose pas d’une commande de destruction à distance. En revanche, les systèmes qui se connecteront au serveur de mise à jour se verront attribuer un paquet vide en remplacement de l’ancien. Cet échange se fait donc sous la forme d’une mise à jour fantôme.
Bien que le but soit louable, la méthode m'incite à ne plus faire confiance à Canonical. Une mise à jour c'est un paquet fournissant les mêmes fonctionnalités que l'ancien, un paquet vide comme « mise à jour » pour moi c'est trahir les utilisateurs faisant confiance aux dépôts de Canonical. Comment les logiciels dépendant de ce paquet vont-ils réagir ?

Bien sur, c'est la faute à Canonical si Oracle interdit la redistribution du JDK...:rolleyes:

[supprimé]

S'il y a un avertissement lors de la mise à jour, c'est un problème relativement mineur. Evidemment, si ça se fait dans la foulée, en douce, ça peut être plus gênant parce que des trucs vont merder sans qu'on sache pourquoi...

mydjey

Cannonical say le mal m'enfou j'vais dl Mint.
(ça c'est fait)

Plus sérieusement c'est Oracle le problème pas Cannonical, PcInpact me déçoit à pondre des news comme celle-ci !

Atem18

mydjey a écritPlus sérieusement c'est Oracle le problème pas Cannonical, PcInpact me déçois à pondre des news comme celle-ci !

Bah, ça a toujours été "in" de taper sur Ubuntu. C'est pas la première fois que ça arrive, et ça arrivera encore dans le futur.

mydjey

De la part d'un site que je considère comme sérieux ça fait chi**, c'est pas la première fois qu'il font ça (cf Distrowatch/Mint blabla...), moi qui voulais prendre un abonnement Premium je me pose des questions ...

kamui57

faustus a écritS'il y a un avertissement lors de la mise à jour, c'est un problème relativement mineur. Evidemment, si ça se fait dans la foulée, en douce, ça peut être plus gênant parce que des trucs vont merder sans qu'on sache pourquoi...

+1. Dans l'article c'est marqué "mise à jour fantôme", donc sans avertissement non ? Je n'ai rien contre sa suppression (puisqu'il n'est plus maintenu), mais pas en douce, car si des logiciels requérant ce JDK se mettaient à planter car le paquet serait vide, cela donnerait une mauvaise impression d'Ubuntu.

ou alors plutôt un message "le paquet blabla n'est plus maintenu, veuillez le supprimer" s'affichant lors des màj serait amha encore mieux, et le supprimer des dépôts officiels. Comme cela, ceux qui ne l'ont pas installé ne pourront pas le faire, alors que si ya un paquet vide ils pourront croire l'avoir installé alors que non. Pas de problème de paquet vide non plus donc de fichiers introuvables par les logiciels dépendant du paquet, et l'administrateur resterait maître de sa machine. Parce que là, l'admin demande une màj et on lui fait une suppression... ya un petit problème de vocabulaire non ? Et l'admin n'est même pas au courant qu'on lui supprime quelque chose sur sa machine. C'est exactement ce qu'on reproche aux app stores ou à amazon sur son kindle. C'est qui qui gère la machine c'est l'administrateur ou c'est Canonical ?

seb24

Et l'admin n'est même pas au courant qu'on lui supprime quelque chose sur sa machine. C'est exactement ce qu'on reproche aux app stores ou à amazon sur son kindle. C'est qui qui gère la machine c'est l'administrateur ou c'est Canonical ?

C'est l'admin donc :
- Il a viré le paquet en question depuis pas mal de temps pour le remplacer par un qui est maintenu
- Et lorsqu'on lui propose des mises à jours il regarde de quoi il sagit.
Faut arrêter de raconter n'importe quoi...

Christophe C

Tout le monde s'en fout, donc je donne mon avis ;-) Canonical choisit une solution acceptable à un problème réel.

Après il y a peut-être mieux, mais bon, il faut bien avancer. Ca règle définitivement le problème. Je rappel que cela ne vaux que pour les versions d'avant la 11.10 (qui elle n'embarque pas la vieille version trouée).

shindz

kamui57 a écrit
faustus a écritS'il y a un avertissement lors de la mise à jour, c'est un problème relativement mineur. Evidemment, si ça se fait dans la foulée, en douce, ça peut être plus gênant parce que des trucs vont merder sans qu'on sache pourquoi...
+1. Dans l'article c'est marqué "mise à jour fantôme", donc sans avertissement non ? Je n'ai rien contre sa suppression (puisqu'il n'est plus maintenu), mais pas en douce, car si des logiciels requérant ce JDK se mettaient à planter car le paquet serait vide, cela donnerait une mauvaise impression d'Ubuntu.

ou alors plutôt un message "le paquet blabla n'est plus maintenu, veuillez le supprimer" s'affichant lors des màj serait amha encore mieux, et le supprimer des dépôts officiels. Comme cela, ceux qui ne l'ont pas installé ne pourront pas le faire, alors que si ya un paquet vide ils pourront croire l'avoir installé alors que non. Pas de problème de paquet vide non plus donc de fichiers introuvables par les logiciels dépendant du paquet, et l'administrateur resterait maître de sa machine. Parce que là, l'admin demande une màj et on lui fait une suppression... ya un petit problème de vocabulaire non ? Et l'admin n'est même pas au courant qu'on lui supprime quelque chose sur sa machine. C'est exactement ce qu'on reproche aux app stores ou à amazon sur son kindle. C'est qui qui gère la machine c'est l'administrateur ou c'est Canonical ?

arretes de raconter n'importe quoi !
Canonical vous a deja averti que ce paquet va sauter et t'a deja montrer ce que tu peux faire si tu tiens tant a ce paquet troué. soit tu t'appliques maintenant et trouves une solution qui te convient , soit tu restes là les bras croisés et Canonical fait ce qu'il faut pour maintenir sa distro en securité. le but de cette annonce ( elle vient d'ubuntu) est que vous vous appliquez deja.
et ton histoire de l'admin, s'il se retrouve dans ce cas alors vires le sans reflechir :o
tu veux etre de ta machine sans etre capable d'assurer sa securité ??

Christophe : il n'y a pas mieux. Canonical a averti et a dit pourquoi ce paquet saute et le message est clair. tu as un delai ( jusqu'a la prochaine mise a jour) pour trouver une solution et c'est pas comme s'ils n'ont pas proposé de solution alternative. a vous lire c'est comme si c'est Pcimpact qui vous proposait une solution à la place de canonical ... bref reflechissez un peu les gars, ca devient chiant à la longue, surtout celui qui nous sors l'histoire de l'admin :lol:

seb24

Christophe C a écritTout le monde s'en fout, donc je donne mon avis ;-) Canonical choisit une solution acceptable à un problème réel.

Après il y a peut-être mieux, mais bon, il faut bien avancer. Ca règle définitivement le problème. Je rappel que cela ne vaux que pour les versions d'avant la 11.10 (qui elle n'embarque pas la vieille version trouée).

Oui je suis pas sur qu'il puisse faire beaucoup mieux. En tout cas c'est encore un point supplémentaire pour préférer les solutions libres.

shindz

pour ceux qui ne comprennent pas l'anglais, une partie de ses fails dans java son actuellement exploité, d'où l'urgence de virer tout ca de nos PC. la prochaine fois lisez un peu mieux les infos avant de nous parler d'admin ...

canonical a écritThe Canonical partner archive currently contains Oracle's Sun Java JDK
packages (sun-java6) for Ubuntu 10.04 LTS, Ubuntu 10.10 and Ubuntu 11.04.

As of August 24th 2011, we no longer have permission to redistribute new
Java packages as Oracle has retired the “Operating System Distributor
License for Java” [1][2].

Oracle has published an advisory about security issues in the version of
Java we currently have in the partner archive [3]. Some of these issues are
currently being exploited in the wild.

Due to the severity of the security risk, Canonical is immediately
releasing a security update for the Sun JDK browser plugin which will
disable the plugin on all machines. This will mitigate users' risk from
malicious websites exploiting the vulnerable version of the Sun JDK.

In the near future (exact date TBD), Canonical will remove all Sun JDK
packages from the Partner archive. This will be accomplished by pushing
empty packages to the archive, so that the Sun JDK will be removed from all
users machines when they do a software update. Users of these packages who
have not migrated to an alternative solution will experience failures after
the package updates have removed Oracle Java from the system.

If you are currently using the Oracle Java packages from the partner
archive, you have two options:

1- Install the OpenJDK packages that are provided in the main Ubuntu
archive. (icedtea6-plugin for the browser plugin, openjdk-6-jdk or
openjdk-6-jre for the virtual machine)
2- Manually install Oracle's Java software from their web site [4].

For more information, please consult the wiki page on the subject [5].

We apologize for any inconvenience this may cause, and thank you for your
understanding.

[1] - http://jdk-distros.java.net/
[2] - http://robilad.livejournal.com/90792.html
[3] - http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html
[4] - http://www.oracle.com/technetwork/java/javase/downloads/index.html
[5] - https://wiki.ubuntu.com/LucidLynx/ReleaseNotes/Java6Transition

[supprimé]

Dans mon kubuntu 10.4.3, j'ai l'impression qu'il n'y pas de Oracle's Sun Java JDK packages (sun-java6)
Mais bien un openJDK...
Alors est-ce que ça a déjà été viré ?
De toutes façons, j'avais déjà fait ça : 2- Manually install Oracle's Java software from their web site

C'est bon ?

Vu

@Faustus: Si je m'abuse il 2 logiciels valides pour faire du Java dans Ubuntu (on ne comptera pas Harmony):
Java SE et OpenJDK (avec le plugin IceTea pour FF). Ce dernier étant libre je crois que c'est celui-ci que propose Canonical par défaut lors d'une installation. Pour un souci de licence, un pendant libre des binaires de sun a été créé: OpenJDK. En mai 2009, OpenJDK a passé les certifications de Sun:

Matthias Klose a écritAfter signing the Sun TCK agreement earlier this year, Java developers
went to work with the certification process and received final
certification from Sun in late May.

This certification means that the OpenJDK 6 package included with Ubuntu
9.04 now passes the rigorous testing of the Java SE Test Compatibility Kit
(TCK) and is compatible with the Java(TM) SE 6 platform on the amd64 (x86_64)
and i386 (ix86) architectures.

OpenJDK is a free and open source implementation of Sun's Java(TM) SE 6
platform. The Java TCK is a toolkit providing tools, tests, and
documentation to help determine whether or not Java implementations meet
compliance. source

Bref, beaucoup d'utilisateurs doivent utiliser OpenJDK. Seul ceux qui l'ont enlevé possèdent JavaSE 6.
Après personnellement, je pense Canonical aurait du mettre OpenJDK au lieu de ce paquet fantôme. Comme cela c'est sécurisé et ceux qui veulent absolument celui d'Oracle ils iront sur le site.

[supprimé]

Il y est OpenJDK et je ne vois aucun paquet fantôme... En tous cas sur kubuntu 10.04.3 (LTS et sortie en juillet 2011, ceci explique peut-être cela).

seb24

Il faut bien voir que ce n'est qu'une annonce préliminaire. Il n'y a encore aucune date de fixé ni action réalisé.
Sinon il me semble que depuis un certains temps déjà on a :
- OpenJDK proposé par défaut
- JDK sun proposé seulement via les dépôts partenaires, qu'il faut activer soit même.

Ubuntu1988

Atem18 a écritBien sur, c'est la faute à Canonical si Oracle interdit la redistribution du JDK...:rolleyes:

Bah oui, c'est leur faute. C'est pareil que pour l'absence de Gnome 2 dans Oneiric, pour la famine dans le monde, pour les guerres, pour les malades, pour le réchauffement climatique, pour la crise financière ... Méchants Canonical :mad:

😃

Elzen

Atem18 a écritBien sur, c'est la faute à Canonical si Oracle interdit la redistribution du JDK...:rolleyes:

Le problème n'est pas la décision d'Oracle (enfin, si, c'est un problème, mais pas celui dont il est question ici) mais la manière de réagir de Canonical face à cette décision.

J'n'ai pas creusé le cas particulier du Java d'Oracle, donc je dis peut-être une énorme bêtise, mais pour autant que je sache, jusqu'à maintenant, Ubuntu avait un très bon mécanisme contre les problèmes de ce genre : son système de gestion de versions.
Au sein d'une version donnée, sauf exception particulière du genre d'un Mozilla Firefox plus maintenu, il n'y avait que des mises à jour corrigeant quelques failles de sécurité sans rien changer aux fonctionnalités. En revanche, au passage d'une version à l'autre, on avait droit à un « nettoyage » qui purgeait tous les paquets qui n'étaient plus disponibles.
Il aurait donc été tout-à-fait possible de laisser simplement les paquets contenant le Java d'Oracle installés sur les machines où ils l'étaient déjà, et d'attendre le passage à la prochaine version pour les supprimer. Quitte, s'il fallait vraiment en effacer toute trace rapidement, à les retirer des dépôts pour empêcher une nouvelle installation.
Comme en plus la prochaine version était prévue pour être une LTS, ça tombait plutôt pas mal au niveau du calendrier.

Il me semble donc que ce que j'ai compris du sujet, à savoir une mise à jour intra-version remplaçant le Java d'Oracle par rien du tout, est contraire au principe de mise à jour habituel d'Ubuntu, et il est donc normal que ça attire quelques réactions.
Mais je suppose qu'il y a quand même une justification derrière cette décision, parce que je vois quand même mal Canonical faire des trucs juste pour le plaisir d'embêter ses utilisateurs.

T'façon, j'm'en fous, j'utilise OpenJDK sous Debian 😛

Page suivante »