Atlassian недавно представил автономный установщик, который устанавливает JIRA вместе с собственной JRE. К сожалению, пакет JRE Atlassian с этим установщиком - 1.6.0_26, тогда как текущая версия JRE - 1.6.0_29. Это может вызывать беспокойство, поскольку в _26 были уязвимости, которые были исправлены в последующих версиях. В настоящее время мы используем версию JIRA в комплекте с установщиком, и один подрядчик рекомендовал отказаться от нее для установленной системой JRE.
У меня такой вопрос: каков реальный риск для безопасности продолжения использования _26 версии JRE, включенной в комплект установщика? У нашей установки JIRA нет публичного доступа (только около 20 сотрудников и подрядчиков могут войти в нашу JIRA), и она доступна только на поддомене домена, в котором нет общедоступного веб-сайта. Если использование старой JRE сопряжено с немалым риском, почему Atlassian не обновил стандартную JRE?
В соответствии с официальная матрица рисков от Oracle риск безопасности довольно высок. Конечно, ваша среда изолирована от внешнего злоумышленника, но безопасности никогда не бывает слишком много. Я полагаю, что у Atlassian просто не было достаточно времени, чтобы заменить интегрированную JRE, возможно, это не было приоритетной задачей в их плане выпуска.