Так что у нас действительно есть несколько установок Glassfish 3, и для них нет поддержки Premium. Oracle выпустила Уведомление об обновлении критического исправления и CVE-2016-5519 относительно тех же уязвимостей в Glassfish было опубликовано в то же время.
Поскольку я вижу, что критические обновления доступны только для клиентов службы поддержки Oracle, и я изо всех сил пытаюсь понять текущий статус разработки Glassfish, возникает пара вопросов:
1 любой, у кого есть полномочия, очевидно
Отказ от ответственности: Я работаю на Payara
Oracle не поддерживает GlassFish 3.x каким-либо образом, кроме контрактов на поддержку, поэтому в версии GlassFish 3.x с открытым исходным кодом не будет никаких других новых выпусков.
Возможно, это затронуло GlassFish 4.x. Oracle делает эти объявления только для Сервер Oracle GlassFish, который немного отличается от версии с открытым исходным кодом тем, что некоторые ошибки затрагивают вещи, которые были коммерческими функциями.
В ходе исследований Пайары мы обнаружили, что многие из них действительно влияют на источник, но не на все. На данный момент мы обнаружили и исправили 19 проблем безопасности (3 объединенные и ожидающие релиза). В настоящее время мы работаем над хорошим способом суммирования исправлений безопасности и того, какие версии содержат какие исправления, но, пока мы не соберем это вместе, я могу сказать, что мы (AFAIK) еще не исследовали это. Чтобы быть уверенным, я поднял его на нашем внутреннем инструменте отслеживания проблем (PAYARA-1253).
Конечно, как сотрудник Payara, я рекомендую вам перейти на сервер Payara! Прежде чем вы полностью спишете это как мою собственную предвзятость, я хотел бы отметить, что это полностью открытый исходный код и очень большое количество новых исправлений поверх последней версии GlassFish (4.1.1). Различия между 3.x и 4.x (за исключением различий в API Java EE 7) невелики, поэтому вам будет довольно легко загрузить его и попробовать с приложением. Мы выпускаем новые версии каждый квартал для общественности (ежемесячно для клиентов), поэтому, если исправление для упомянутой вами CVE действительно требуется, оно должно быть доступно довольно скоро.
Для баланса альтернативы будут WildFly / JBoss, WebLogic, WebSphere Liberty или TomEE. Я бы сказал, что из-за общей кодовой базы переход на Payara, вероятно, вызовет меньше всего головной боли. WebLogic также разделяет большое количество реализаций API с GlassFish, однако WebLogic можно бесплатно загрузить и запустить только в развитие средам и требует лицензии на производственное использование.
Я определенно рекомендую вам отказаться от GlassFish 3.1.2, хотя она устарела и стареет. В конечном итоге вам придется переехать, и сейчас обнаружен ряд уязвимостей, которые не исправлены в версии с открытым исходным кодом. В конечном итоге выбор того, куда вы переехать, остается за вами.