过时Java中的隐藏威胁
💡
原文英文,约900词,阅读约需4分钟。
📝
内容提要
企业系统的安全性往往在重要地方被忽视,如Java运行时。Oracle每年更新JDK两次,Azul的Platform Core提供了OpenJDK的TCK测试的Zulu版本,每季度包含CPU和PSU,支持JDK 6和7。
🎯
关键要点
- 企业系统的安全性常常被忽视,尤其是在Java运行时。
- Oracle每年更新JDK两次,采用时间驱动的发布计划。
- Java的长期支持版本(LTS)每两年发布一次,当前版本为JDK 8、11、17和21。
- 旧版Java(JDK 6和7)不再受到Oracle的支持。
- Java仍然存在未发现的漏洞,OpenJDK包含750万行代码,依赖许多外部库。
- 未及时更新的JDK 6应用程序面临425个漏洞,其中89个为关键漏洞。
- Oracle提供的更新分为关键补丁更新(CPU)和补丁集更新(PSU),PSU包含更多的更改。
- PSU的更新可能会影响应用程序的功能,导致潜在的重大问题。
- 所有OpenJDK的免费二进制分发仅提供PSU版本,延迟部署可能带来风险。
- Apache Struts的关键漏洞在发布后迅速被利用,未及时更新的系统面临攻击风险。
- Azul的Platform Core每季度提供TCK测试的Zulu版本,包括CPU和PSU,支持JDK 6和7。
➡️
