Java 5自April 2008開始生命週期結束。我們在2014年中期,我的客戶仍然在使用它來運行他們的應用程序服務器,並通過Internet訪問公共Web。我想警告他們有關風險,併爲他們提供很好的理由來遷移到最新版本的Java,甚至可能是Java 8.在Java 5.0上運行Web應用程序服務器有危險嗎?
我記得閱讀關於Java 5的巨大安全缺陷的新聞,但沒有發佈缺陷修復了,但我找不到一個確切的例子。
是否存在嚴重的未修正的Java 5漏洞,它會要求客戶更新到最新版本的Java?
Java中最着名的安全漏洞是瀏覽器中的Java插件。但是在應用程序服務器上,Java處理低層網絡以及時區和XML處理等事情。它允許廣泛訪問服務器資源,因此確實存在安全風險。
SSL依賴最新的cacerts密鑰庫,而隨Java 5 update 22提供的那個是古老的,並且會信任舊的和不可靠的證書籤名機構,並且不會識別新的證書。
Oracle仍然支持Java 5.它被稱爲Java 5 Advanced,以前稱爲Java For Business。 http://www.oracle.com/technetwork/java/javase/documentation/overview-137139.html包含了自Java 5進入生命週期以來發布的所有補丁的概述。它們目前處於Java 5更新版本85.
此概覽鏈接指向重要補丁更新的描述,如http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html#AppendixJAVA。當涉及到安全問題,這些更新只給出了模糊的,但仍然相當令人擔憂的描述,如CVE-2013-5830的描述:
Protocol: Multiple
Subcomponent: Libraries
Remote Exploit without Auth.?: Yes
Base Score: 10 (out of 10)
Access Vector: Network
Access Complexity: Low
Authentication: None
Confidentiality: Complete
Integrity: Complete
Availability: Complete
Versions affected: Java SE 5.0u51 and earlier
此問題影響服務器和客戶端。注1說:
適用於Java的客戶端和服務器部署。此漏洞可以通過沙盒Java Web Start應用程序和沙盒Java小程序來利用。 也可以通過向指定組件中的API提供數據而不使用沙箱化Java Web Start應用程序或沙箱化Java小程序(例如通過Web服務)來利用它。
我不是安全專家,但悲觀地看這是:請注意,任何人都可以輕鬆地發送攻擊性輸入到服務器和肆虐它的所有可能的排序。
這僅僅是多個服務器端CVE的自更新22
補丁僅適用於Java 5的高級客戶實際的更新之一。你可以建議你的客戶利用這種支持。或者他們比較獲得支持的價格和升級成本。
幾乎所有的Java安全問題都與瀏覽器插件相關,因此與applet相關。我不記得運行應用程序服務器時出現的任何嚴重問題 –
我不認爲Java 5中存在任何嚴重的安全問題。這個問題可能是您必須運行一個仍然支持Java 5的古老WebServer,會**有安全漏洞。 –
Java 5中的cacerts文件是古老的,並且仍然會信任diginotar之類的受損證書。 – flup