Аннулирование лицензирования Sun Java JDK от корпорации Oracle для дистрибьюторов ОС, в сочетании с октябрьским анонсом многочисленных критических уязвимостей в этом ПО, вынудил Canonical срочно отключить из соображений безопасности браузерный плагин для Sun JDK. Так как в августе Oracle отозвала свою DLJ-лицензию ("Operating System Distributor License for Java"), Canonical больше не может распространять обновления к нему. На данный момент Sun JDK распространяется компанией через партнерский репозиторий компании.

 Canonical заявляет, что по её сведениям эксплойты для октябрьских уязвимостей уже во всю используются в открытом доступе, и что отключение плагина уменьшит риск взлома системы. Этим уязвимостям подвержены дистрибутивы Ubuntu 10.04 LTS (Lucid Lynx), 10.10 (Maverick Meerkat) и  11.04 (Natty Narwhal). Более того, уже в ближайшее время Canonical собирается удалить пакет Sun JDK из их партнерского репозитория, путем замещения его пустым пакетом. Это приведет к эффекту его удаления в системе пользователя при попытке пользователя обновить Sun JDK. В связи с этим Canonical предупреждает тех пользователей, которые до сих пор не перешли на OpenJDK или вручную скачали и установили себе Sun JDK, что попытка обновления приведет к “сбою в работе Java”.

 Canonical поясняет свои действия тем, что компания была поставлена в сложное положение жестким выбором между “поддержанием безопасности системы” и “сохранением работоспособности Java”, и она сделала выбор в пользу безопасности, даже ценой поломки работоспособности Java-функционала у некоторых своих пользователей. Остаётся только неясным как компания сможет уведомить об этом большинство своих пользователей, которые не читают список рассылки Canonical по безопасности, для которых последствия всего этого могут стать неприятным сюрпризом.

Напомним, что неделю назад в аналогичном случае проект Debian удалил из своего репозитория пакет sun-java6-jre (Debian Bug #646524). Разработчики этого дистрибутива также рекомендуют всем своим пользователям самостоятельно выполнить команду "apt-get --purge remove sun-java6-jre && apt-get install openjdk-7-jre" для замены уязвимого Sun JDK на его открытый аналог. Перед его удалением важно убедиться, что используемые вами Java-приложения  действительно работоспособны на OpenJDK, так как на нем  реально работоспособны лишь около 60% стандартных Java-приложений.

Игорь Савчук

Blogerator.ru