¿Es necesario actualizar JRE en un servidor Apache Tomcat?

Navega tus respuestas
1

Tenemos una aplicación web Java contenida en una instancia de apache tomcat. La versión de JRE es 7.0.51 y la versión de Tomcat es 7.0.42.

Los usuarios han expresado su preocupación por el hecho de que Oracle 7 haya suspendido el soporte / las actualizaciones en abril de 2015 y han solicitado que la versión de Java del entorno se actualice a la versión 8. Sin embargo, al hacerlo, tememos que el comportamiento de la aplicación pueda cambio, como hemos observado durante la codificación y las pruebas cuando uno de los desarrolladores estaba usando JRE 8 en lugar de 7. Esto también podría significar que necesitaríamos actualizar las bibliotecas de terceros que usamos, como OJDBC e incluso actualizar la versión de Tomcat. / p>

Mi pregunta es:

  1. ¿Cuáles son los problemas de seguridad si queremos mantener una versión antigua de JRE?
  2. ¿Qué podemos hacer para mitigar los problemas de seguridad?
  3. ¿No es responsabilidad de las funciones de seguridad del servidor web, del equilibrador de carga (y de esas características) evitar problemas de seguridad para las versiones de Java que supuestamente admiten?

Editar

Todos ustedes sugirieron que es necesario actualizar la versión de Java de un servidor. Sin embargo, esta es una aplicación grande y muy compleja con muchas dependencias; la actualización significaría realizar pruebas de regresión costosas en todo el sistema. Mis preguntas adicionales son:

  1. ¿El riesgo supera los costos incurridos? ¿Son tan buenos los riesgos para justificar pruebas adicionales y la posible recodificación?
  2. ¿Cómo puede un atacante malintencionado explotar una versión obsoleta de Java? Según entiendo, los servicios / puertos que se comunican directamente con usuarios externos son el único punto de entrada a un ataque desde Internet (suponga que no hay ataques internos). Entonces, ¿no es el trabajo del sistema operativo y los servicios garantizar que no haya errores explotables?
pregunta user3367701 10.11.2015 - 08:19
fuente

3 respuestas

1

Dado que su sistema está expuesto a Internet, debe hacer todas las tareas que menciona en su pregunta. Tarde o temprano estará disponible un ataque automatizado contra Java 7, y los robots encontrarán su servidor.

    
respondido por el jknappen 10.11.2015 - 09:37
fuente
0

Un punto más que se debe tener en cuenta al actualizar su instalación de Java (porque desea mantenerla actualizada) es que las versiones anteriores no se eliminan de forma predeterminada.

Oracle tenía un plan para actualizar Java y no solo instalar una nueva versión, sino que aún no estaba en su lugar la última vez que lo verifiqué (no es lo mismo que tener actualizaciones automáticas).

El problema principal detrás de esto es que un applet malicioso puede requerir una versión específica de java cuando se ejecuta.

    
respondido por el WoJ 10.11.2015 - 12:54
fuente
0

Permítame responder sus inquietudes puntualmente, asumiendo que el servidor que tiene está orientado a Internet.

1) No se recomienda ejecutar la versión obsoleta de JRE, ya que muchas de las vulnerabilidades se pueden aprovechar de forma remota tanto en la implementación del cliente como del servidor y tienen una menor complejidad de acceso. Consulte las listas de actualización de parches críticos para el 15 de octubre aquí enlace

2) Debes parchear todo lo que puedas, teniendo en cuenta las restricciones que mencionaste anteriormente. Aunque te recomiendo que comiences a trabajar en portar tu aplicación mientras tanto a versiones más altas. Las defensas en el perímetro de la red, como los dispositivos Firewall, IPS y WAF, pueden disuadir la mayor parte del riesgo hasta que esté en proceso de puerto.

3) No, esa responsabilidad es de Oracle y ellos lanzan parches de vez en cuando. Sin embargo, muchos Load-Balancers comerciales vienen con un componente de seguridad incorporado en cierta medida. También puedes pensar en Endurecer tu Tomcat si aún no lo has hecho. Mi punto es que arreglar agujeros de seguridad en la fuente es mejor que en el siguiente nivel.

    
respondido por el Krishna Pandey 10.11.2015 - 11:19
fuente

Lea otras preguntas en las etiquetas

Se necesita asesoramiento de VPN de Snoopers Charter ¿Qué estándares de PCI debe cumplir una aplicación de pago (para teléfonos inteligentes) para que el SSC de PCI los apruebe?