所以我们确实有一些Glassfish 3的安装,并且没有高级支持。 Oracle已经发布了重要补丁更新通知 ,同时发布了有关Glassfish中相同漏洞的CVE-2016-5519 。
正如我所看到的,重要补丁更新仅适用于Oracle支持客户,而我正在努力了解当前的Glassfish开发状态,因此出现了一些问题:
1有权这样做的人显然
免责声明:我为Payara工作
除了支持合同之外,Oracle不以任何方式维护GlassFish 3.x,因此GlassFish 3.x的开源版本将不会有任何其他新版本。
GlassFish 4.x可能受到影响。 Oracle仅为Oracle GlassFish服务器发布这些声明,这与开放源代码版本略有不同,因为一些错误会影响只有商业function的东西。
在Payara的调查中,我们发现其中许多确实影响了来源,但不是全部。 目前,我们已经发现和修复了19个安全问题(3个合并和待发布)。 目前我们正在研究一个总结安全修复的好方法,哪个版本包含哪些修复,但是,直到我们把它们放在一起,我可以说我们还没有(AFAIK)调查过这个修复。 可以肯定的是,我在内部问题跟踪器( PAYARA-1253 )上提出了这个问题。
当然,作为一个Payara的员工,我会build议你搬到Payara Server! 但是,在您完全按照自己的偏见写下这篇文章之前,我想指出这是完全开源的,并且在最新的GlassFish(4.1.1)之上有了大量的新修补程序。 3.x和4.x(不同于Java EE 7 API差异)之间的差异很小,因此您可以轻松下载它,然后使用您的应用程序。 我们每个季度都会向公众发布新的版本(每月发布给客户),所以如果您提到的CVE的修复确实是必需的,那么应该很快就会提供。
为了平衡,替代品可以是WildFly / JBoss,WebLogic,WebSphere Liberty或TomEE。 我会说,由于共享的代码库,向Payara的转移可能导致最less的头痛。 WebLogic也与GlassFish共享大量的API实现,但是WebLogic只能在开发环境下自由下载和运行,并且需要生产许可证。
我当然会推荐你从GlassFish 3.1.2移开,尽pipe它已经老了,变老了。 您将需要最终迁移,并且现在已经发现一些安全漏洞,这些安全漏洞在开源版本中没有修复。 最终,你select的是你的select。