согласно Oracle, «все эти уязвимости могут быть использованы удаленно без аутентификации, т. е. могут быть использованы по сети без необходимости ввода имени пользователя и пароля». Это включает в себя наше приложение Java, которое работает с Tomcat, которое сейчас находится в производстве, и виден в Интернете? (80 и 443). Нужно ли мне обновлять Java JRE на всех этих серверах?
Или это обновление исключительно для конечного пользователя?
http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.html это ссылка на консультацию.
Нет, он также включает исправления на стороне сервера, согласно Oracle Technote:
Это критическое обновление содержит 17 новых исправлений безопасности для Oracle Java SE - 5 применить к клиенту и серверу развертывания Java SE, 11 применяются только к клиентским развертываниям Java SE, и 1 относится к серверу только развертывания Java SE
Один, который применяется только к серверам, находится в NIO (Networking), а остальные 5 - в Java 2D и Java Sound Components.