Quali sono le implicazioni sulla sicurezza di un runtime Java fuori supporto?

2

Quali sono le potenziali implicazioni sulla sicurezza di lasciare la versione di gennaio 2010 del Java 8 di Oracle runtime installata indefinitamente?

Per il contesto, abbiamo implementato il runtime Oracle Java 8, ma dopo gennaio gli aggiornamenti saranno disponibili solo per gli utenti domestici o tramite un contratto commerciale, a prezzi che non possiamo permetterci. Questo è in un ambiente accademico e, a causa del numero di applicazioni Windows (oltre diecimila), ognuna delle quali potrebbe avere una dipendenza nota o sconosciuta su Java, passare a una distribuzione alternativa come il runtime di AdoptOpenJDK sarà difficile e sembra improbabile che venga completato in qualsiasi momento presto.

Per aiutarci a stabilire le priorità, vorrei avere un'idea di che tipo di rischi stiamo affrontando in questo momento e di quali misure potremmo adottare per attenuarli.

La mia ricerca finora suggerisce:

  • Le applet Java ora sono disabilitate su Firefox e Chrome e dovremmo essere in grado di utilizzare i criteri di gruppo o altri strumenti per disabilitarli anche su Internet Explorer. (Gli attacchi basati su applet sono tutti comuni per cominciare? O è probabile che diventino più comuni l'anno prossimo?)

  • I browser non avviano le applicazioni Java Web Start senza l'autorizzazione esplicita dell'utente, quindi anche se la sandbox viene interrotta da una vulnerabilità scoperta di recente, ciò non è più pericoloso di un utente che scarica ed esegue un'applicazione convenzionale.

  • Le applicazioni Java desktop, ad es. .jar file, non sono comunque sandbox, quindi le vulnerabilità della sicurezza nel runtime non dovrebbero importare a meno che non risultino vulnerabili nell'applicazione. Ciò significa che dovremo fare qualcosa per il (relativamente piccolo) numero di macchine che abbiamo in esecuzione Tomcat, ma che dovrebbe funzionare perfettamente su qualsiasi distribuzione Java, e la maggior parte delle altre applicazioni Java non dovrebbe essere esposta direttamente agli attacchi.

Quindi, nel complesso, la situazione non sembra così male come sembrava. Ma forse sto trascurando qualcosa? Quali altri rischi stiamo affrontando?

    
posta Harry Johnston 05.12.2018 - 23:22
fonte

1 risposta

2

La gestione del rischio significa dare un senso a un investimento di $ per proteggere dalla perdita di più denaro. Gli attacchi basati su applet avvengono, ma stanno diventando sempre meno comuni. Detto questo, se la tua organizzazione è mirata, potrebbero decidere di utilizzare questi attacchi semplicemente perché potrebbero sapere che stai ancora utilizzando questa versione.

A parte questo, la tua valutazione è piuttosto accurata. Per stabilire le priorità personalmente, probabilmente proverei a identificare le applicazioni che dipendono dal runtime Java obsoleto, ma che vengono eseguite con privilegi diversi (ad esempio privilegi più elevati) o connesse alla rete. Queste applicazioni sarebbero probabilmente più esposte e interessanti per un utente malintenzionato.

Inoltre, controllerei attivamente se nel JRE8 venissero pubblicate alcune vulnerabilità nel frattempo.

    
risposta data 06.12.2018 - 07:22
fonte

Leggi altre domande sui tag