安全在Java 5.0上运行web应用程序服务器有危险吗?
Java5是自April 2008以来的生命终结。2014年年中,我的客户仍在使用它来运行他们的应用程序服务器,并通过互联网进行公共web访问。我想提醒他们风险,并为他们提供迁移到最新版本的Java,甚至可能是Java 8的好理由
我记得读过关于Java5存在巨大安全缺陷的新闻,这些缺陷已经不再发布,但我找不到确切的例子
Java 5是否存在严重的未修补漏洞,要求客户更新到最新版本的Java
你可以在下面搜索框中键入要查询的问题!
Java5是自April 2008以来的生命终结。2014年年中,我的客户仍在使用它来运行他们的应用程序服务器,并通过互联网进行公共web访问。我想提醒他们风险,并为他们提供迁移到最新版本的Java,甚至可能是Java 8的好理由
我记得读过关于Java5存在巨大安全缺陷的新闻,这些缺陷已经不再发布,但我找不到确切的例子
Java 5是否存在严重的未修补漏洞,要求客户更新到最新版本的Java
# 1 楼答案
Java中最著名的安全漏洞是浏览器中的Java插件中的漏洞。但是在应用服务器上,Java处理低级网络和诸如时区和XML处理之类的事情。它允许广泛访问服务器资源,因此确实存在安全风险
SSL依赖于最新的cacerts密钥库,Java 5 update 22提供的密钥库非常古老,它将信任旧的和不可靠的证书签名机构,并且不会识别新的证书签名机构
Oracle仍然提供对Java5的支持。它被称为Java5Advanced,以前称为Java For Businesshttp://www.oracle.com/technetwork/java/javase/documentation/overview-137139.html包含了自Java5面世以来他们发布的所有补丁的概述。他们目前正在进行Java5更新85
概述链接到关键补丁更新的描述,如http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html#AppendixJAVA。当涉及到安全问题时,这些更新只给出了模糊但相当令人担忧的描述,如CVE-2013-5830的描述:
此问题影响服务器和客户端。注1说:
我不是安全专家,但悲观地认为:请注意,任何人都可以轻易地向服务器发送攻击性输入,并对其造成各种可能的破坏
这只是自更新22以来修补的多个服务器端CVE之一
实际更新仅对Java 5高级客户可用。您可以建议您的客户利用此支持。或者他们比较获得支持的价格和升级的成本