共 (1) 个答案

1. # 1 楼答案

   Java中最著名的安全漏洞是浏览器中的Java插件中的漏洞。但是在应用服务器上，Java处理低级网络和诸如时区和XML处理之类的事情。它允许广泛访问服务器资源，因此确实存在安全风险

   SSL依赖于最新的cacerts密钥库，Java 5 update 22提供的密钥库非常古老，它将信任旧的和不可靠的证书签名机构，并且不会识别新的证书签名机构

   Oracle仍然提供对Java5的支持。它被称为Java5Advanced，以前称为Java For Businesshttp://www.oracle.com/technetwork/java/javase/documentation/overview-137139.html包含了自Java5面世以来他们发布的所有补丁的概述。他们目前正在进行Java5更新85

   概述链接到关键补丁更新的描述，如http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html#AppendixJAVA。当涉及到安全问题时，这些更新只给出了模糊但相当令人担忧的描述，如CVE-2013-5830的描述：

   Protocol: Multiple
   Subcomponent: Libraries
   Remote Exploit without Auth.?: Yes
   Base Score: 10 (out of 10)
   Access Vector: Network
   Access Complexity: Low
   Authentication: None
   Confidentiality: Complete
   Integrity: Complete
   Availability: Complete
   Versions affected: Java SE 5.0u51 and earlier
   

   此问题影响服务器和客户端。注1说：

   Applies to client and server deployment of Java. This vulnerability can be exploited through sandboxed Java Web Start applications and sandboxed Java applets. It can also be exploited by supplying data to APIs in the specified Component without using sandboxed Java Web Start applications or sandboxed Java applets, such as through a web service.

   我不是安全专家，但悲观地认为：请注意，任何人都可以轻易地向服务器发送攻击性输入，并对其造成各种可能的破坏

   这只是自更新22以来修补的多个服务器端CVE之一

   实际更新仅对Java 5高级客户可用。您可以建议您的客户利用此支持。或者他们比较获得支持的价格和升级的成本