【IT168 评论】尽管在过去六个月中,Oracle对Java的安全性做了重大改进,但根据安全公司Bit9的一份调查报道显示,Java仍是众多企业最大的安全隐患,因为这些企业的系统还在使用着过时的Java版本。Bit9公司在上周公布了这份报告,数据显示,在企业环境里,Java 6是使用最普遍的版本,而目前有超过了80%的企业电脑安装了Java。
Oracle在四月份就停止了对Java 6的支持,只有和Oracle有长期合作的企业客户才会继续得到安全更新。目前,Java 7是Oracle加强安全工作的重点版本,而Bit9的调查报道显示,只有15%左右的企业端点系统采用了该版本。
此外,大多数公司系统上所运行的Java 6,并不没有升级最新的安全更新补丁。根据Bit9的数据显示,Java 6 Update 20是企业部署最广泛的安全更新。但这一版本的Java非常“脆弱”,共有215个安全问题。漏洞评分系统(CVSS)的评分显示是96分。
Java 6最后的一次安全更是4月份发布的Java 6 Update 45,同一时间还有Java 7 Update 21的更新,这是Bit9在收集数据时候Java的最新版本。Bit9公司表示,只有3%的企业端点系统运行Java 7 Update 21。此外,有许多企业系统同时在运行着多个Java版本,其中有42%的系统在同一时间安装了两个以上的Java版本,约有20%同一时间安装了三个以上的版本。
据Bit9的报告显示,平均而言,在企业中有超过50个不同的Java版本安装在他们的环境中,大约有5%的企业有超过100个Java版本,出现这个问题的主要原因在于,Java在安装或更新过程中对旧版本的处理问题。目前,Java 7的更新程序会尝试删除原有的Java 6,但Bit9首席技术官Harry Sverdlove表示,如果你是全新安装Java 7,那么旧版本就不会被删除,此外,在Java 7的安装或更新过程中不会删除Java 5。
Bit9数据显示,93%的企业系统运行的Java版本已经有五年之久,有51%的企业安装的Java版本有5-10之久。在系统上同时安装多个Java版本,会让黑客可以利用旧版本或脆弱的版本侵入计算机,一旦发生攻击,新的Java更新也毫无办法。
Harry Sverdlove表示,出现不同的Java版本会增加系统的可用性,因为客户可以运行久的应用程序,但从安全角度来说,这是一场噩梦。在大多数情况下,企业内部环境安装多个版本也并非企业所想,因为企业并不了解、也没有跟踪他们已经安装了多少个版本。
“首先,企业应该对现有环境中的Java版本做出评估,下一步就是安全政策问题,认真的去考虑他们是否需要Java”,Harry Sverdlove表示。不同企业所评估出的结果可能不尽相同,有些公司会发现旧的应用程序需要某个特性的Java版本来运行,但仅仅是在某些电脑上需要而已;有些公司会发现某些软件需要最新Java版本的支持;还有企业可能会发现,他们仅仅是在服务器上需要Java,在桌面端并不需要。
“无论是否有Java的需求,企业都应该建立一套Java部署和更新的机制,并去执行。如果企业并不需要Java,那么就应该使用相应的工具来阻止Java的安装;如果需要在特定的电脑上安装Java,那么企业应该在除此之外的任何机器上将Java删除。”Harry Sverdlove建议。