Portanto, temos algumas instalações do Glassfish 3 flutuando e nenhum Suporte Premium para elas. A Oracle lançou uma notificação de Atualização de Patch Crítico e o CVE-2016-5519 sobre as mesmas vulnerabilidades no Glassfish foi publicado ao mesmo tempo.
Como posso ver que as atualizações críticas de patches estão disponíveis apenas para clientes de suporte da Oracle e estou tendo dificuldades para entender o status atual de desenvolvimento do Glassfish, surgem algumas perguntas:
- Existe um cronograma para o projeto de código aberto Glassfish lançar uma nova versão do Glassfish 3 incorporando as correções relevantes?
- Alguém já expressou uma opinião sobre se o Glassfish 4.0/4.1 seria afetado? A Oracle anunciou que não oferece suporte comercial para as versões do Glasfish além da versão 3, portanto, não ter as versões 4.x listadas no anúncio da Oracle (ou no CVE) não significa que sejam seguras
- este é o momento de instar nossos fornecedores a eliminar gradualmente o Glassfish e substituí-lo por algo em manutenção ativa? Em caso afirmativo, quais são as preocupações que posso trazer aqui e o que posso razoavelmente pedir aos fornecedores?
1 qualquer pessoa com autoridade para fazê-lo, obviamente
Isenção de responsabilidade: eu trabalho para Payara
A Oracle não está mantendo o GlassFish 3.x de forma alguma fora dos contratos de suporte, então a edição de código aberto do GlassFish 3.x não terá nenhum outro novo lançamento.
É possível que o GlassFish 4.x seja afetado. A Oracle só faz esses anúncios para o Oracle GlassFish Server , que é sutilmente diferente da edição de código aberto, pois alguns bugs afetam coisas que eram recursos apenas comerciais.
Nas investigações de Payara, descobrimos que muitos deles afetam a fonte, mas não todos. Atualmente, encontramos e corrigimos 19 problemas de segurança (3 mesclados e com lançamento pendente). No momento, estamos trabalhando em uma boa maneira de resumir as correções de segurança e quais versões contêm quais correções, mas, até juntarmos tudo isso, posso dizer que (AFAIK) ainda não investigamos isso. Só para ter certeza, mencionei isso em nosso rastreador de problemas interno (
PAYARA-1253).Claro, como funcionário do Payara, vou recomendar que você mude para o Payara Server! Antes de descartar isso completamente como meu próprio viés, gostaria de salientar que é totalmente de código aberto e tem um grande número de novas correções no topo do GlassFish (4.1.1) mais recente. As diferenças entre 3.x e 4.x (além das diferenças da API do Java EE 7) são pequenas, portanto, seria muito fácil fazer o download e experimentá-lo com seu aplicativo. Lançamos novas versões a cada trimestre para o público (mensalmente para os clientes), portanto, se uma correção para o CVE que você mencionou for realmente necessária, ela deverá estar disponível em breve.
Apenas para equilibrar, as alternativas seriam WildFly/JBoss, WebLogic, WebSphere Liberty ou TomEE. Eu diria que, devido à base de código compartilhada, uma mudança para Payara provavelmente causará menos dores de cabeça. O WebLogic também compartilha um grande número de implementações de API com o GlassFish, no entanto, o WebLogic só pode ser baixado e executado gratuitamente em ambientes de desenvolvimento e requer uma licença para uso em produção.
Eu certamente recomendaria que você se afastasse do GlassFish 3.1.2, embora ele seja antigo e esteja ficando mais antigo. Você precisará mudar eventualmente e há uma série de vulnerabilidades de segurança que foram descobertas e que não foram corrigidas na edição de código aberto. Em última análise, a escolha de onde você se muda é sua.