de acordo com a Oracle, "Todas essas vulnerabilidades podem ser exploradas remotamente sem autenticação, ou seja, podem ser exploradas através de uma rede sem a necessidade de um nome de usuário e senha." Isso inclui nosso aplicativo Java que é executado com o Tomcat que está em produção agora e está visível na Internet? (80 e 443). Tenho que atualizar o Java JRE em todos esses servidores?
Ou isso é estritamente uma atualização do usuário final?
link este é o link para o comunicado.
Não, ele também inclui correções do lado do servidor, de acordo com o Oracle Technote:
This Critical Patch Update contains 17 new security fixes for Oracle Java SE - 5 apply to client and server deployments of Java SE, 11 apply to client deployments of Java SE only, and 1 applies to server deployments of Java SE only
O que se aplica apenas aos servidores está no NIO (Networking) e os outros 5 estão no Java 2D e no Java Sound Components.