Glassfish 3.1.2 和 Oracle 2016 年 10 月 CPU
因此,我們確實有一些 Glassfish 3 安裝浮動,但沒有為它們提供高級支持。Oracle 已發布重要更新檔更新通知,同時發布了有關 Glassfish 中相同漏洞的CVE-2016-5519 。
正如我所看到的,重要更新檔更新僅適用於 Oracle 支持客戶,我正在努力了解目前 Glassfish 的開發狀態,出現了幾個問題:
- Glassfish 開源項目是否有時間表發布包含相關修復的新 Glassfish 3 版本?
- 有沒有人1對 Glassfish 4.0/4.1 是否會受到影響發表意見?Oracle 已宣布不為 Glasfish 3 之後的版本提供商業支持,因此在 Oracle 的公告(或 CVE)中未列出 4.x 版本並不意味著它們是安全的
- 現在是時候敦促我們的供應商逐步淘汰 Glassfish 並用正在積極維護的產品取而代之了嗎?如果是這樣,我可能會在這裡提出哪些問題,我可以合理地要求供應商做什麼?
1任何有權這樣做的人,顯然
**免責聲明:**我為 Payara 工作
- Glassfish 開源項目是否有時間表發布包含相關修復的新 Glassfish 3 版本?
Oracle 不會在支持契約之外以任何方式維護 GlassFish 3.x,因此 GlassFish 3.x 的開源版本不會有任何其他新版本。
- 有人對 Glassfish 4.0/4.1 是否會受到影響發表過意見嗎?Oracle 已宣布不為 Glasfish 3 之後的版本提供商業支持,因此在 Oracle 的公告(或 CVE)中未列出 4.x 版本並不意味著它們是安全的
GlassFish 4.x 可能會受到影響。Oracle 僅針對Oracle GlassFish Server發布這些公告,這與開源版本略有不同,因為一些錯誤會影響商業功能。
在 Payara 的調查中,我們發現其中許多確實影響了來源,但並非全部。目前,我們已經發現並修復了 19 個安全問題(3 個合併和待發布)。我們目前正在研究一種很好的方法來總結安全修復程序以及哪些版本包含哪些修復程序,但是在我們把它們放在一起之前,我可以說我們還沒有(AFAIK)調查過這個。可以肯定的是,我在我們的內部問題跟踪器 (
PAYARA-1253) 上提出了它。
- 現在是時候敦促我們的供應商逐步淘汰 Glassfish 並用正在積極維護的產品取而代之了嗎?如果是這樣,我可能會在這裡提出哪些問題,我可以合理地要求供應商做什麼?
當然,作為 Payara 的員工,我會建議您遷移到 Payara Server!不過,在您完全將其視為我自己的偏見之前,我想指出它是完全開源的,並且在最新的 GlassFish (4.1.1) 之上有大量的新修復。3.x 和 4.x 之間的差異(除了 Java EE 7 API 差異)很小,因此您可以很容易地下載它並在您的應用程序中使用它。我們每個季度都會向公眾發布新版本(每月向客戶發布),因此,如果確實需要對您提到的 CVE 進行修復,那麼它應該很快就會發布。
只是為了平衡,替代方案是 WildFly/JBoss、WebLogic、WebSphere Liberty 或 TomEE。我想說,由於共享程式碼庫,遷移到 Payara 可能會引起最少的麻煩。WebLogic 還與 GlassFish 共享大量 API 實現,但是 WebLogic 只能免費下載並在開發環境中執行,並且需要許可證才能用於生產。
我當然會建議您離開 GlassFish 3.1.2,不過,它已經過時而且越來越老了。您最終需要搬家,現在已經發現了許多在開源版本中未修復的安全漏洞。最終,您選擇搬到哪裡是您的事。