Abbiamo un'applicazione web Java contenuta in un'istanza di apache tomcat. La versione di JRE è 7.0.51 e la versione di Tomcat è 7.0.42.
Gli utenti hanno espresso la loro preoccupazione per l'interruzione del supporto / aggiornamenti di Java 7 da parte di Oracle nell'aprile 2015 e ha richiesto che la versione Java dell'ambiente sia aggiornata alla versione 8. Tuttavia, temendo che il comportamento dell'applicazione potrebbe cambiare, come abbiamo osservato durante la codifica e il test quando uno degli sviluppatori stava usando JRE 8 invece di 7. Ciò potrebbe anche significare che avremmo bisogno di aggiornare le librerie di terze parti che abbiamo usato come OJDBC e persino di aggiornare la versione di Tomcat. / p>
La mia domanda è:
- Quali sono i problemi di sicurezza se dobbiamo attenerci a una vecchia versione di JRE?
- Che cosa possiamo fare per attenuare i problemi di sicurezza?
- Non è responsabilità delle funzionalità di sicurezza del server web, del servizio di bilanciamento del carico (e di questo tipo) per prevenire problemi di sicurezza per le versioni Java che presumibilmente supportano?
Modifica
Tutti voi avete suggerito che è necessario aggiornare la versione Java di un server. Tuttavia, questa è un'applicazione grande e molto complessa con molte dipendenze; l'aggiornamento comporterebbe l'esecuzione di costosi test di regressione sull'intero sistema. Le mie domande aggiuntive sono:
- Il rischio supera i costi sostenuti? I rischi sono così grandi da giustificare test aggiuntivi e potenziali ricodifiche?
- In che modo un utente malintenzionato può sfruttare una versione di Java obsoleta? La mia comprensione è che i servizi / i porti che comunicano direttamente con utenti esterni sono l'unico punto di accesso a un attacco di base Internet (non si assumono attacchi interni). Quindi, non è il lavoro del sistema operativo e dei servizi garantire che non ci siano bug sfruttabili?