Aviso: Eu trabalho para Payara
- Existe uma linha do tempo para o projeto de código aberto Glassfish lançar uma nova versão do Glassfish 3 incorporando as correções relevantes?
A Oracle não está mantendo o GlassFish 3.x de qualquer forma fora dos contratos de suporte, então a edição de código aberto do GlassFish 3.x não terá outros novos lançamentos.
- Alguém expressou uma opinião sobre se o Glassfish 4.0 / 4.1 seria afetado? A Oracle anunciou não oferecer suporte comercial para versões Glasfish além de 3, portanto, não ter versões 4.x listadas no anúncio da Oracle (ou da CVE) não significa que elas sejam seguras
É possível que o GlassFish 4.x seja afetado. A Oracle só faz esses anúncios para o Oracle GlassFish Server , que é sutilmente diferente da edição de código aberto, pois alguns bugs afetam coisas que eram apenas comerciais.
Nas investigações de Payara, descobrimos que muitas delas afetam a fonte, mas não todas. Atualmente, encontramos e corrigimos 19 problemas de segurança (3 lançamentos mesclados e pendentes). No momento, estamos trabalhando em uma maneira legal de resumir as correções de segurança e quais versões contêm quais correções, mas, até que as unamos, posso dizer que ainda não investigamos (AFAIK). Só para ter certeza, eu a criei em nosso rastreador de problemas interno ( PAYARA-1253 ).
- É hora de pedir aos nossos fornecedores que eliminem gradualmente o Glassfish e o substituam por algo em manutenção ativa? Em caso afirmativo, quais são as preocupações que eu poderia trazer aqui e o que eu poderia razoavelmente pedir a fornecedores?
Claro que, como funcionário da Payara, vou recomendar que você se mude para o Payara Server! Antes de você escrever isso como meu próprio viés, eu gostaria de salientar que é completamente open source e tem um grande número de novas correções no topo do GlassFish mais recente (4.1.1). As diferenças entre 3.xe 4.x (além das diferenças de API do Java EE 7) são pequenas, então seria muito fácil baixá-lo e aplicá-lo no aplicativo. Lançamos novas versões a cada trimestre para o público (mensalmente para os clientes), portanto, se uma correção para a CVE mencionada for realmente necessária, ela deve estar disponível em breve.
Apenas para equilibrar, as alternativas seriam WildFly / JBoss, WebLogic, WebSphere Liberty ou TomEE. Eu diria que, devido à base de código compartilhada, uma mudança para Payara provavelmente causará menos dores de cabeça. O WebLogic também compartilha um grande número de implementações de API com o GlassFish, no entanto, o WebLogic só pode ser baixado e executado em ambientes desenvolvimento e requer uma licença para uso em produção.
Eu certamente recomendaria que você se afastasse do GlassFish 3.1.2, embora seja antigo e envelheça. Você precisará se mover eventualmente e há uma série de vulnerabilidades de segurança que foram descobertas e não foram corrigidas na edição de código aberto. Em última análise, a escolha de para onde você se muda é a sua.