Oracle Java: Problémy se zabezpečením?

Září 5, 2019
Roman Strauss

Autor

Roman Strauss

SAM Consultant společnosti SoftwareONE Czech Republic

Oracle od 16. dubna 2019 změnil pravidla podpory platformy Java, která nyní uvádějí, že jakákoli verze Oracle / Sun Microsystems Java Standard Edition (SE, včetně JRE nebo JDK s LTS (Long Term Support) nebo non-LTS podporou, potřebuje placenou licenci/podporu nebo předplatné od Oracle pro Oracle Java SE Advance/Desktop. Pak může získávat komerční záplaty včetně bezpečnostní podpory. Většina zákazníků platformy Java po celém světě přitom používá platformu Oracle Java ve verzích 6, 7, 8 (LTS) a 11 (LTS). Tato změna je plošná a týká se všech, zákazníků Oracle i ostatních, a postihne všechny organizace, které na ni nemají naplánovaný rozpočet.

Ve skutečnosti společnost Oracle nahradila smlouvu Binary Code License (BCL) svojí standardní smlouvou Oracle Technology Network s auditní klauzulí (OTN) ve všech verzích platformy Java od Oracle Java SE ve verzi 11 a novějších. Pojďme se podívat na podrobnosti.

Která verze bezpečnostní aktualizace/záplaty vyžaduje zaplacené předplatné?

Kvůli změně pravidel poskytování podpory společností Oracle pro platformu Java, nemohou od 16. dubna 2019 zákazníci zdarma získat žádné bezpečností aktualizace. Nejnovější bezpečnostní aktualizace proto vyžadují placené předplatné na základě standardních licenčních pravidel společnosti Oracle:

Tyto bezpečnostní záplaty řeší následující zranitelnosti:

1. Zranitelnost se týká instalací platformy Java, typicky v klientech provozujících aplikace Java Web Start v sandboxu nebo Java applety (v Java SE 8) v sandboxu, které nahrávají nedůvěryhodný kód (např. kód pocházející z internetu) a spoléhající se při zabezpečení na Java sandbox. Tato zranitelnost může být zneužita použitím API příslušných komponent, například prostřednictvím webové služby, která API dodává data.

2. Zranitelnost se týká instalací platformy Java, typicky v klientech provozujících aplikace Java Web Start v sandboxu nebo Java applety (v Java SE 8) v sandboxu, které nahrávají a spouštějí nedůvěryhodný kód (např. kód pocházející z internetu) a spoléhající se při zabezpečení na Java sandbox. Tato zranitelnost se netýká instalací platformy Java, typicky v serverech, které nahrávají a spouštějí pouze důvěryhodný kód (např. kód instalovaný administrátorem).

3. Zranitelnost může být zneužita pouze poskytnutím dat API v konkrétní komponentě bez použití nedůvěryhodných Java Web Start aplikací nebo nedůvěryhodných Java appletů, typicky prostřednictvím webové služby.

Následující uvolnění bezpečnostních záplat platformy Java je očekáváno 15. října 2019 a bude dostupné jen na základě placeného předplatného.

Jaký to má dopad na vaše provozní náklady na platformu Java?

Pro typické menší prostředí s méně než 1 000 desktopy a servery s 1 300 jádry může být dopad na provozní náklady následující:

Zatímco v rozsáhlém prostředí může být dopad na provozní náklady zásadní:

Jak vám můžeme pomoci my?

  • Provedení technického posouzení klientských zařízení a serverů (fyzických/virtuálních) a cloudových instancí pro instalace JRE/JDK
  • Provedení optimalizace pro spojení použití platformy Java s produkty dodavatelů, poskytujících podporu platformy Java, jako jsou Oracle, IBM, Red Hat, SAP, AWS apod.
  • Posouzení racionalizace Java aplikací s pomocí AdoptOpenJDK a OpenJDK
  • Předplacení komerční podpory platformy Java od Oracle a/nebo Azul systems a/nebo IBM/Red Hat.

Potřebujete více informací?

Náš poradenský tým SoftwareONE pro Oracle a platformu Java má mnoho zkušeností z realizovaných projektů. Kontaktujte nás pro nejnovější doporučení pro platformu Java od Oracle!

Přidat komentář