Atlassian最近推出了一个独立的安装程序,它安装了JIRA以及它自己的JRE。 不幸的是,这个安装程序的JRE Atlassian捆绑包是1.6.0_26,而当前版本的JRE是1.6.0_29。 考虑到_26中存在的漏洞在后续版本中已经修复,这可能是值得关注的。 我们目前正在使用JIRA的捆绑安装版本,一个承包商build议我们把这个replace为系统安装的JRE。
我的问题是:继续使用捆绑安装程序中包含的JRE的_26版本的实际安全风险是什么? 没有公共访问我们安装的JIRA(只有约20名员工和承包商可以login到我们的JIRA),并且只能在没有公开网站的域名的子域上访问。 如果坚持老版本的JRE有一个固有的不小的风险,为什么Atlassian没有升级默认的JRE?
根据Oracle的官方风险表 ,安全风险相当高。 当然,你的环境与外部攻击者是隔离的,但是安全从来不是太多。 我想Atlassian没有足够的时间来replace捆绑的JRE,也许这不是他们发布计划中的首要任务。