Компания Canonical намерена удалить Oracle Java с машин пользователей Ubuntu

Отзыв лицензии на поставку Oracle Java JDK в составе Linux-дистрибутивов, в сочетании с исправлением 20 опасных уязвимостей в октябрьском обновлении JDK, вынудил компанию Canonical из соображений безопасности незамедлительно отключить у пользователей Ubuntu уже установленный в системах браузерный плагин на основе Oracle JDK. Распространению обновления с устранением уязвимостей мешает отзыв лицензии компанией Oracle, что блокирует возможность поставлять новые версии Oracle JDK в составе дистрибутивов. В настоящее время Oracle JDK распространяется через "партнёрский репозиторий" и позиционируется для пользователей, которых по тем или иным причинам не устраивает OpenJDK.

Представитель Canonical заявляет, что по имеющимся у компании сведениям эксплойты для октябрьских уязвимостей уже можно найти в открытом доступе, и что отключение плагина уменьшит риск взлома системы. Связанным с Oracle JDK язвимостям подвержены дистрибутивы Ubuntu 10.04 LTS (Lucid Lynx), 10.10 (Maverick Meerkat) и 11.04 (Natty Narwhal). Более того, уже в ближайшее время Canonical собирается удалить пакет Sun JDK из "партнёрского репозитория", путем замещения его пустым пакетом, которому будет присвоен более новый номер версии. Такой шаг приведет к удалению JDK в системах пользователей при попытке обновить Oracle JDK. В связи с этим Canonical предупреждает тех пользователей, которые до сих пор не перешли на OpenJDK или установленный вручную оригинальный пакет от Oracle, что попытка обновления приведет к "сбою в работе Java".

Один из работников Canonical поясняет подобные действия тем, что компания была поставлена в сложное положение жестким выбором между "поддержанием безопасности системы" и "сохранением работоспособности Java", и она сделала выбор в пользу безопасности, даже ценой поломки работоспособности связанной с Java функциональности у некоторых своих пользователей. Остаётся неясным, как компания сможет уведомить об этом большинство своих пользователей, которые не читают список рассылки по безопасности Ubuntu, для которых последствия всего этого могут стать неприятным сюрпризом.

Напомним, что неделю назад в аналогичном случае проект Debian удалил из своего репозитория пакет sun-java6-jre (Debian Bug #646524). Разработчики Debian также рекомендуют всем своим пользователям самостоятельно выполнить команду "apt-get --purge remove sun-java6-jre && apt-get install openjdk-7-jre" для замены уязвимого Sun JDK на его открытый аналог. Перед удалением важно убедиться, что используемые Java-приложения действительно работоспособны на OpenJDK.

©  OpenNet