Java服务器安全问题综述

Question

我的目标是了解，当我在服务器应用程序上使用旧的java 8版本时，会出现哪些安全问题。有很多java安全问题，但大多数只与客户端应用程序相关。

此漏洞不适用于Java部署，通常在服务器中.

有一个相似问题。但是：

• 这个问题已经过时了
• 当然，您应该修补所有的软件，以获得最大的安全性。但在实践中，升级软件有时会带来高昂的成本。因此，您必须解释您的管理为什么会出现安全问题，以及会产生什么影响。

所以我的问题是：

• 是否有只与服务器应用程序相关的java安全问题列表？
• 有关于这个主题的指南吗？

编辑

• Jdk8 支助将于2020年结束.也许我们可以估计将来会出现什么安全问题，当我们知道过去是什么样的安全问题时。(我知道这不是一个好问题，但我并不生活在一个理想的世界)
• Jdk8的公众支持已经停止。如果有带有旧jdk的服务器。这些应该更新到商业jdk8吗？

Answer 1

如果您直接进入来源，就会有一列备注。我不知道有没有收藏的作品。

Oracle的Java安全顾问中的备注1和3就是这样做的。

1. ...还可以通过在指定组件中使用API来攻击此漏洞，例如通过向API提供数据的web服务。3.只有在不使用不受信任的Java Web Start应用程序或不受信任的Java applet(例如通过web服务)的情况下，才能通过向指定组件中的API提供数据来攻击此漏洞。

很难向预期的观众简明地解释这种差别。以前，咨询意见使用了术语“客户端”和“服务器”。注2只适用于“加载和运行不受信任的代码”的部署，即SecurityManager按预期使用的位置，如RMI。

我不认为很多人能从安全建议中得到多少。我敢肯定，阅读这篇文章主要是为了给人一种印象，即他们正在做出一个明智的决定(他们没有)。

据推测，模块化的Java 9+部署可以跳过它确定不使用的领域的更新。

缩小攻击面。禁用Java序列化(如果绝对必须，则禁用窄白名单)。打个补丁。