Archivo de abril, 2015

Disponibles JavaSE 8u40, JavaSE 7u79/80 y EOL de la rama 7

Logo de Java

Logo de Java

Siguiendo el calendario previsto, ya tenemos aquí April 2015 Critical Patch Update de Oracle. Esta vez tenemos 14 problemas de seguridad en Java de los cuales 3 son explotables en instalaciones en servidor. Ademas, las tres vulnerabilidades (CVE-2015-0469, CVE-2015-0459 y CVE-2015-0491) tienen un CVSS Base Score de 10. Peligrosas a mas no poder. Si no quieres estar expuesto a estas vulnerabilidades (ni a las descubiertas anteriormente) solo tienes que actualizar a la ultima versión de la rama del JDK que estés utilizando. Para la versión 7 tienes la 7u79/80 y para la 8 la 8u45.

Como avise hace un tiempo, coincidiendo con este CPU de Abril, llega la ultima de las actualizaciones publicas del JDK7. Esta rama ha llegado a su EOL y a partir de ahora tienes tres opciones.

  • Arriesgarte y seguir usando el JDK7 sin soporte: seguirán apareciendo bugs, pero no podrás parchear tu instalación. Dependerás de la suerte.
  • Pagar el soporte de Oracle: en este caso tendrás soporte extendido hasta 2022.
  • Migrar al JDK8: si optas por esta opción, tendrás actualizaciones gratuitas hasta Marzo de 2017

Para mas detalles, puedes consultar el roadmap aquí. Lógicamente, yo te recomiendo las dos ultimas opciones. La primera es arriesgada, y lo digo desde la experiencia. Si el proveedor de la aplicación no te la certifica para el JDK8 y no hay dinero para soporte, no hay mucho mas que tu puedas hacer. Bueno, si puedes hacer algo mas. Redacta un informe alertado a tus responsables del riesgo y de las posibles soluciones. Solo por si acaso.

Tienes mas información en las releases notes del JDK8 .

Y si estas buscando esta versión en concreto, pero ya no la ves en la página de descarga, prueba en el archivo de Oracle.

Liberado Tomcat 7.0.61

Logo de Apache Tomcat

Logo de Apache Tomcat

El equipo de desarrollo de Apache Tomcat ha publicado una nueva versión de la 7. Los cambios son prácticamente los mismos que se han realizado en la 8 y que vimos hace unos dias.

La lista completa de cambios puedes verla en http://tomcat.apache.org/tomcat-7.0-doc/changelog.html. Para descargar la nueva versión: http://tomcat.apache.org/download-70.cgi

Los servidores mas usados en 2015 segun Plumbr

Hace un par de años ya te hablé de Plumbr, la herramienta de detección de memory leaks para aplicaciones java, y de sus estadísticas. Los resultados han cambiado bastante con respecto a años anteriores, pero puede deberse al cambio de rol de la herramienta. Si hace dos años se trataba de una herramienta de desarrollo, ahora es mas una solución de motorización, así que cada vez refleja mas lo que nos podemos encontrar en entornos de producción.

Han analizado 758 instalaciones y han conseguido identificar el proveedor de 554 de ellas. Cosas destacables: Tomcat pasa del 40% al 60% de las instalaciones, Jetty se queda a un tercio de los resultados anteriores y WebLogic dobla su presencia.

La situación actual es esta (pulsa para agrandarla):

 

Utilización de servidores de aplicaciones en 2015. Fuente: Plumbr

Utilización de servidores de aplicaciones en 2015. Fuente: Plumbr

 

Y la evolución temporal esta:

 

Evolución de los servidores de aplicaciones hasta 2015. Fuente: Plumbr

Evolución de los servidores de aplicaciones hasta 2015. Fuente: Plumbr

 

Con respecto a la versión del JDK utilizado, nos encontramos la evolución esperada en términos de adopción de nuevas versiones, y alguna cosa que directamente da miedo. Para empezar, Java7 domina domina el mercado, habiendo tocado techo. Java8 va subiendo y Java6 camino de desaparecer. Como te decía, lo esperado.

La situación actual es esta:

 

Utilización de las versiones del JDK en 2015. Fuente: Plumbr

Utilización de las versiones del JDK en 2015. Fuente: Plumbr

 

Y la evolución temporal esta:

 

Evolución de las versiones del JDK hasta 2015. Fuente: Plumbr

Evolución de las versiones del JDK hasta 2015. Fuente: Plumbr

 

Ya hora lo que me ha dado miedo: mira las versiones de Java7 que se están usando:

 

Utilización de las diferentes versiones de Java7 en 2015. Fuente: Plumbr

Utilización de las diferentes versiones de Java7 en 2015. Fuente: Plumbr

 

Prácticamente nadie utiliza la ultima versión y el 20% de los servidores están utilizando versiones anteriores a la 1.7.0_45, que contienen mas de 100 bugs de seguridad que son perfectamente conocidos y explotables. Por favor, actualiza tu base de servidores siempre que sea posible. Ganaras en tranquilidad. Si no quieres o no puedes mirar continuamente la página de Oracle, puedes suscribirte al blog y yo te avisaré.

Puedes ver los artículos completos aquí y aquí.

Ir arriba