Atlassian 最近推出了一款独立安装程序,可安装 JIRA 及其自己的 JRE。遗憾的是,Atlassian 捆绑此安装程序的 JRE 是 1.6.0_26,而 JRE 的当前版本是 1.6.0_29。这可能令人担忧,因为 _26 中存在漏洞,这些漏洞已在后续版本中得到修复。我们目前正在使用捆绑安装程序版本的 JIRA,一位承包商建议我们放弃此版本,转而使用系统安装的 JRE。
我的问题是:继续使用捆绑安装程序中包含的 _26 版 JRE 的实际安全风险是什么?我们安装的 JIRA 无法公开访问(只有大约 20 名员工和承包商可以登录我们的 JIRA),并且只能在没有公开网站的域的子域上访问。如果坚持使用旧版 JRE 本身存在不小的风险,为什么 Atlassian 没有升级默认 JRE?
答案1
根据Oracle 的官方风险矩阵安全风险相当高。当然,您的环境与外部攻击者隔离,但安全性永远不会过高。我猜 Atlassian 只是没有足够的时间来替换捆绑的 JRE,也许这不是他们发布计划中的首要任务。