Keine automatische Java-Deinstallation bei Ubuntu [Update]

Canonical ist von den ursprünglichen Plänen abgerückt, das sicherheitskritische Oracle-Java-6-Paket in bestehenden Ubuntu-Installationen durch ein automatisches Update mit einem leeren Paket zu deinstallieren.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag
Von
  • Mirko Dölle

Oracle Java 6 wird auf Systemen mit Ubuntu 10.04, 10.10 und 11.04 doch nicht automatisch deinstalliert. Dies verkündete Canonical auf der Ubuntu-Security-Mailing-Liste. Aufgrund einer inzwischen aktiv ausgenutzten Sicherheitslücke in den Oracle-Java-6-Paketen wäre ein Update dringend erforderlich. Da Oracle jedoch die Lizenzierung für Distributoren änderte, darf Canonical keine neueren Versionen von Oracle Java mehr bereitstellen – ein Security-Fix über die Ubuntu-Repositories ist also nicht möglich.

Daher gab Canonical Mitte Dezember 2011 bekannt, die problematischen Oracle-Java-Pakete bis spätestens zum 16. Februar 2012 aus all seinen Repositories zu entfernen. Dieser Termin gilt auch weiterhin. Den ursprünglichen Plan, zusätzlich leere Pakete mit einer höheren Versionsnummer in die Repositories einzuspielen, hat Canoncal jetzt jedoch aufgegeben. Dadurch wären die alten Oracle-Java-Pakete auf allen Ubuntu-Rechnern gelöscht und durch die neuen, leeren Pakete ersetzt worden – sodass die Ubuntu-Systeme zwar wieder sicher wären, aber ohne Oracle Java auskommen müssten.

Damit wären bestehende Systeme, die nicht mit der freien Alternative OpenJDK arbeiten können, lahmgelegt worden. Dies war Canonical von Anfang an bewusst, wurde aber als kleineres Übel im Vergleich zu anfälligen Systemen angesehen. Aufgrund massiver Proteste von Anwendern hat sich der Distributor nun jedoch anders entschieden: Ist Oracle Java 6 bereits installiert, bleibt es unangetastet und der Rechner ist weiterhin verwundbar. Allerdings lässt sich Oracle Java 6 nach dem 16. Februar nicht mehr über die Paketverwaltung installieren – auch nicht nach einer Neuinstallation des Rechners.

Die allgemeine Verfügbarkeit von Oracle Java 6 für Linux ist von der Diskussion übrigens nicht betroffen: Die Software lässt sich nach wie vor jederzeit von Oracles Java-Seite herunterladen und unter Linux installieren. Es gibt lediglich keine vorgefertigten Pakete in den Repositories der jeweiligen Linux-Distributoren. Oracle selbst bietet Java nur zur manuellen Installation und als RPM-Pakete an.

[Update] Eine weitere Alternative zur manuellen Installation bietet der Oracle-JDK-7-Installer, der sich gerade in der Beta-Testphase befindet. Er basiert auf dem Flash-Plug-in-Installer des Debian-Teams und steht in einem PPA-Repository zum Download, lässt sich also problemlos über die Ubuntu-Paketverwaltung einspielen. Eine Anleitung zur Einbindung des Repositories und zur Installation des Pakets finden Sie hier [/Update] (mid)