Debian und Ubuntu schmeißen Oracle-Java raus
Sowohl Ubuntu als auch Debian entfernen aus Sicherheitsgründen das Oracle Java 6 JDK aus ihren Repositories. Anwendern wird der Umstieg auf das OpenJDK empfohlen.
Sowohl Ubuntu als auch Debian entfernen aus Sicherheitsgründen Oracle Java 6 aus ihren Repositories. Das teilten die Distributoren auf der Ubuntu-Security-Liste und in den Debian Project News mit. Anwendern wird der Umstieg auf das OpenJDK 6 (Ubuntu) oder 7 (Debian) empfohlen. Alternativ kann man das Oracle Java JDK in den Versionen 6 und 7 bei Oracle direkt herunterladen, falls Java-Anwendungen mit dem OpenJDK nicht funktionieren.
Grund für das Entfernen der sun-java6-Pakete ist eine Änderung der Lizenzbedingungen für die Verbreitung: Ende August hatte Oracle die "Operating System Distributor License for Java" (DLJ) aufgekündigt, die Linux-Distributoren den Vertrieb von Sun Java zusammen mit den Distributionen erlaubte. Die letzte DLJ-lizenzierte Version 6.26 des Java 6 JDK enthält eine Sicherheitslücke, die jetzt laut Canonical über das Browser-Plug-in aktiv ausgenutzt wird. Ein Update auf die aktuelle Java-6-Version 2.6.30 ist aus Lizenzgründen nicht möglich.
Ubuntu hat das Browser-Plug-in in den Versionen 10.04 LTS, 10.10 und 11.04. bereits über ein Update deaktiviert, der Rest des Sun Java 6 JDK soll demnächst rausfliegen. Debian hat die sun-java6-Pakete aus den Entwicklerversionen testing, unstable und experimental entfernt; in Debian 5 (Lenny), das kurz von dem End of Life steht, und dem aktuellen Debian 6 (Squeeze) sind die Pakete noch im non-free-Repository zu finden.
Fedora ist von dem Problem nicht betroffen, weil die Distribution das Oracle Java JDK nicht enthält. OpenSuse hat Oracle Java in der aktuellen Version 12.1 durch das OpenJDK ersetzt.. Für Red Hat Enterprise Linux sind bereits seit der Sicherheitswarnung durch Oracle im Oktober aktualisierte Java-Pakete verfügbar. (odi)