因此,我们确实有一些 Glassfish 3 安装浮动,但没有为它们提供高级支持。Oracle 已发布重要补丁更新通知,同时发布了有关 Glassfish 中相同漏洞的CVE-2016-5519 。
正如我所看到的,重要补丁更新仅适用于 Oracle 支持客户,我正在努力了解当前 Glassfish 的开发状态,出现了几个问题:
- Glassfish 开源项目是否有时间表发布包含相关修复的新 Glassfish 3 版本?
- 有没有人1对 Glassfish 4.0/4.1 是否会受到影响发表意见?Oracle 已宣布不为 Glasfish 3 之后的版本提供商业支持,因此在 Oracle 的公告(或 CVE)中未列出 4.x 版本并不意味着它们是安全的
- 现在是时候敦促我们的供应商逐步淘汰 Glassfish 并用正在积极维护的产品取而代之了吗?如果是这样,我可能会在这里提出哪些问题,我可以合理地要求供应商做什么?
1任何有权这样做的人,显然
免责声明:我为 Payara 工作
Oracle 不会在支持合同之外以任何方式维护 GlassFish 3.x,因此 GlassFish 3.x 的开源版本不会有任何其他新版本。
GlassFish 4.x 可能会受到影响。Oracle 仅针对Oracle GlassFish Server发布这些公告,这与开源版本略有不同,因为一些错误会影响商业功能。
在 Payara 的调查中,我们发现其中许多确实影响了来源,但并非全部。目前,我们已经发现并修复了 19 个安全问题(3 个合并和待发布)。我们目前正在研究一种很好的方法来总结安全修复程序以及哪些版本包含哪些修复程序,但是在我们把它们放在一起之前,我可以说我们还没有(AFAIK)调查过这个。可以肯定的是,我在我们的内部问题跟踪器 (
PAYARA-1253) 上提出了它。当然,作为 Payara 的员工,我会建议您迁移到 Payara Server!不过,在您完全将其视为我自己的偏见之前,我想指出它是完全开源的,并且在最新的 GlassFish (4.1.1) 之上有大量的新修复。3.x 和 4.x 之间的差异(除了 Java EE 7 API 差异)很小,因此您可以很容易地下载它并在您的应用程序中使用它。我们每个季度都会向公众发布新版本(每月向客户发布),因此,如果确实需要对您提到的 CVE 进行修复,那么它应该很快就会发布。
只是为了平衡,替代方案是 WildFly/JBoss、WebLogic、WebSphere Liberty 或 TomEE。我想说,由于共享代码库,迁移到 Payara 可能会引起最少的麻烦。WebLogic 还与 GlassFish 共享大量 API 实现,但是 WebLogic 只能免费下载并在开发环境中运行,并且需要许可证才能用于生产。
我当然会建议您离开 GlassFish 3.1.2,不过,它已经过时而且越来越老了。您最终需要搬家,现在已经发现了许多在开源版本中未修复的安全漏洞。最终,您选择搬到哪里是您的事。