È necessario aggiornare JRE in un server Apache Tomcat?

1

Abbiamo un'applicazione web Java contenuta in un'istanza di apache tomcat. La versione di JRE è 7.0.51 e la versione di Tomcat è 7.0.42.

Gli utenti hanno espresso la loro preoccupazione per l'interruzione del supporto / aggiornamenti di Java 7 da parte di Oracle nell'aprile 2015 e ha richiesto che la versione Java dell'ambiente sia aggiornata alla versione 8. Tuttavia, temendo che il comportamento dell'applicazione potrebbe cambiare, come abbiamo osservato durante la codifica e il test quando uno degli sviluppatori stava usando JRE 8 invece di 7. Ciò potrebbe anche significare che avremmo bisogno di aggiornare le librerie di terze parti che abbiamo usato come OJDBC e persino di aggiornare la versione di Tomcat. / p>

La mia domanda è:

  1. Quali sono i problemi di sicurezza se dobbiamo attenerci a una vecchia versione di JRE?
  2. Che cosa possiamo fare per attenuare i problemi di sicurezza?
  3. Non è responsabilità delle funzionalità di sicurezza del server web, del servizio di bilanciamento del carico (e di questo tipo) per prevenire problemi di sicurezza per le versioni Java che presumibilmente supportano?

Modifica

Tutti voi avete suggerito che è necessario aggiornare la versione Java di un server. Tuttavia, questa è un'applicazione grande e molto complessa con molte dipendenze; l'aggiornamento comporterebbe l'esecuzione di costosi test di regressione sull'intero sistema. Le mie domande aggiuntive sono:

  1. Il rischio supera i costi sostenuti? I rischi sono così grandi da giustificare test aggiuntivi e potenziali ricodifiche?
  2. In che modo un utente malintenzionato può sfruttare una versione di Java obsoleta? La mia comprensione è che i servizi / i porti che comunicano direttamente con utenti esterni sono l'unico punto di accesso a un attacco di base Internet (non si assumono attacchi interni). Quindi, non è il lavoro del sistema operativo e dei servizi garantire che non ci siano bug sfruttabili?
posta user3367701 10.11.2015 - 08:19
fonte

3 risposte

1

Dato che il tuo sistema è esposto a internet, dovresti fare tutte le attività che menzioni nella tua domanda. Prima o poi sarà disponibile un attacco automatico contro Java 7 e i bot troveranno il tuo server.

    
risposta data 10.11.2015 - 09:37
fonte
0

Un altro punto da considerare quando si aggiorna l'installazione di Java (perché si desidera mantenerlo aggiornato) è che le versioni precedenti non vengono rimosse per impostazione predefinita.

C'era un piano per oracle per aggiornare effettivamente Java e non solo installare una nuova versione ma non era ancora sul posto l'ultima volta che ho controllato (questo non è lo stesso che avere gli aggiornamenti automatici).

Il problema principale alla base di questo è che un'applet dannosa potrebbe richiedere una versione specifica di java quando viene eseguito.

    
risposta data 10.11.2015 - 12:54
fonte
0

Consentitemi di rispondere alle vostre preoccupazioni a livello di punto presumendo che il Server in vostro possesso abbia Internet.

1) L'esecuzione di una versione obsoleta di JRE non è raccomandata in quanto molte delle vulnerabilità possono essere sfruttate in remoto sia sulla distribuzione client e server che con una minore complessità di accesso. Consulta gli elenchi di aggiornamento delle patch critiche per il 15 ottobre qui link

2) Dovresti applicare tutto il possibile, rispettando i vincoli che hai menzionato sopra. Mentre ti consiglio di iniziare a lavorare sul porting della tua applicazione nel frattempo alle versioni superiori. Le difese di Network Perimeter come Firewall, IPS e WAF appliance possono scoraggiare la maggior parte del rischio fino a quando non sei in fase di elaborazione.

3) No, questa responsabilità è di Oracle e rilasciano le patch di volta in volta. Tuttavia, molti Load Balancer commerciali sono dotati di componenti di sicurezza integrati in una certa misura. Puoi anche pensare a Indurire il tuo Tomcat se non lo hai già fatto. Il mio punto è che correggere i buchi di sicurezza alla fonte è meglio che al livello successivo.

    
risposta data 10.11.2015 - 11:19
fonte

Leggi altre domande sui tag