关于Oracle Java SE (更新) 安全风险提醒

| 2019-05-17

近日,腾讯云安全中心监测到2019年1月份之后,Oracle Java SE 8 的公开更新将不向没有商用许可证的业务、商用或生产用途提供,而面向单独个人用户使用的 Java SE 8 则不在受影响范围。
       腾讯云安全中心建议您及时检查线上 Java 版本,并结合企业内部实际业务情况,开展相应的评估。
 
【风险详情】
  Oracle JDK 8 自 2014年3月 发布,到 2019年1月 正式进入“End of Public Updates”(公共更新结束期),到期后将不再为大众提供免费 Bug 修复和安全维护,如需继续维护,则要「付费」获取更新或者技术支持,即2019年4月开始,如果用户未购买 Oracle 商业许可证,则无法获取最新修复补丁。
   1)对于个人开发者, Oracle Java SE 8 在 2020 年底前的公开更新不会有任何的使用影响,仍可免费使用
   2)对于企业使用者,要使用 2019 年 1 月以后发布的 Oracle Java SE 8 公开更新,需要获取商用许可证
 
【风险等级】
   中风险
 
【安全影响】
   2019年4月后,未购买 Oracle 商用许可证的企业用户将无法获取 Oracle Java SE 8 的季度更新
 
【安全建议】
  Java有 OpenJDK 等社区版,对所有应用免费,其中除去部分付费许可证的高级特性不可用外,openJDK 和 Oracle JDK 本质几乎一致。
   针对这种情况,腾讯云安全团队有如下建议:
  1)对于很多现有老项目,如果没有关键的安全问题,可保持版本不变,不跟进升级;
  2)用户也可选择第三方发布的免费 openJDK 版本,但需要付出一定迁移成本;
  3)升级到新版本 JDK(如JDK 9),比较适合新的开发项目; 
  4)付费使用 Oracle JDK更新,如果公司已购买了Oracle 商用许可证 ,则可继续使用 Oracle JDK 2019年1月后的更新,不受该问题影响。
 
【风险参考】
  1)官方通告:https://java.com/zh_CN/download/release_notice.jsp
  2)详情细节:https://www.oracle.com/technetwork/java/java-se-support-roadmap.html

编辑:航网科技 来源:深圳航网科技有限公司 本文版权归原作者所有 转载请注明出处

在线客服

微信扫一扫咨询客服


全国免费服务热线
0755-36300002

返回顶部