在Java 5.0上运行web应用程序服务器是否危险？_Java_Security

在Java 5.0上运行web应用程序服务器是否危险？

java security

在Java 5.0上运行web应用程序服务器是否危险？,java,security,Java,Security,Java5从那时起就结束了它的生命。2014年年中，我的客户仍在使用它来运行他们的应用程序服务器，并通过互联网进行公共web访问。我想提醒他们风险，并为他们提供迁移到最新版本的Java，甚至可能是Java 8的好理由我记得读过关于Java5存在巨大安全缺陷的新闻，这些缺陷已经不再发布，但我找不到确切的例子 Java 5是否存在严重的未修补漏洞，这将强制客户更新到最新版本的Java？Java中最著名的安全漏洞是浏览器中的Java插件中的漏洞。但是在应用服务器上，Java处理低级网络和诸如时区和X

Java5从那时起就结束了它的生命。2014年年中，我的客户仍在使用它来运行他们的应用程序服务器，并通过互联网进行公共web访问。我想提醒他们风险，并为他们提供迁移到最新版本的Java，甚至可能是Java 8的好理由

我记得读过关于Java5存在巨大安全缺陷的新闻，这些缺陷已经不再发布，但我找不到确切的例子

Java 5是否存在严重的未修补漏洞，这将强制客户更新到最新版本的Java？

Java中最著名的安全漏洞是浏览器中的Java插件中的漏洞。但是在应用服务器上，Java处理低级网络和诸如时区和XML处理之类的事情。它允许广泛访问服务器资源，因此确实存在安全风险

SSL依赖于最新的cacerts密钥库，Java 5 update 22提供的密钥库非常古老，它将信任旧的和不可靠的证书签名机构，并且不会识别新的证书签名机构

Oracle仍然提供对Java5的支持。它被称为Java5Advanced，以前称为Java For Business。包含自Java5面世以来他们发布的所有补丁的概述。他们目前正在进行Java5更新85

概述链接到关键修补程序更新的说明，如。当涉及到安全问题时，这些更新只给出了模糊但相当令人担忧的描述，如CVE-2013-5830的描述：

Protocol: Multiple
Subcomponent: Libraries
Remote Exploit without Auth.?: Yes
Base Score: 10 (out of 10)
Access Vector: Network
Access Complexity: Low
Authentication: None
Confidentiality: Complete
Integrity: Complete
Availability: Complete
Versions affected: Java SE 5.0u51 and earlier

此问题影响服务器和客户端。注1说：

适用于Java的客户端和服务器部署。此漏洞可通过沙盒Java Web Start应用程序和沙盒Java小程序进行攻击还可以通过向指定组件中的API提供数据而不使用沙盒Java Web Start应用程序或沙盒Java小程序（如通过Web服务）来利用此漏洞。
我不是安全专家，但悲观地认为：请注意，任何人都可以轻易地向服务器发送攻击性输入，并对其造成各种可能的破坏
这只是自更新22以来修补的多个服务器端CVE之一

实际更新仅对Java 5高级客户可用。您可以建议您的客户利用此支持。或者他们将获得支持的价格与升级的成本进行比较。
几乎所有Java安全问题都与浏览器插件相关，因此与小程序相关。我不记得运行应用服务器时有什么严重的问题，我认为Java 5中没有任何严重的安全问题。这个问题是你必须运行一个仍然支持Java 5的古老的Web服务器，这将有安全漏洞。Java 5中的cacerts文件是古老的，并且仍然信任像diginotar一样的被破坏的证书。另外，我预计SSL实现会有麻烦。@a_horse_与_no_name我一直在想相同的问题，但这并不完全清楚。老实说，当安全策略错误地应用于插件代码时，为什么它们在JRE的其他部分都应该是正确的？