Java安全问题的答案

大多数产品被测试(除了窗户服务器以某种形式使用Oracle的Java，至少在客户端访问和某些情况下管理界面。最近在Java中发现了大量的漏洞，导致国土安全部和其他部门指导彻底禁用它，这就引发了一些关于可用性甚至可能的问题测试设备的安全性。

我们要求参与评审的每个供应商解决Java与提供给我们用于测试的产品相关的影响，并为用户提供指导。

[相关:Cisco edge F5在VPN枪战中

微软DirectAccess印象]

——WatchGuard表示，SSL 560设备不会受到US-CERT警报TA13-010A中列出的Oracle Java 7安全管理器绕过漏洞的攻击;但是，如果使用基于Java的Access客户机特性的客户机系统运行Java 7 Update 10或更低的版本，那么它们可能会受到攻击。供应商建议更新到Java 7更新11或更高版本。使用Internet Explorer的客户端可以禁用Java并使用ActiveX客户端加载程序。

——根据Barracuda Networks，在US-CERT中描述的Java漏洞不会直接影响Barracuda SSL VPN。所有会话都是自包含的，在管理员显式添加资源的情况下，用户不会公开外部链接、脚本或重定向。因此，客户端不会暴露在SSL VPN上下文中的“驱动下载”或其他社会工程风险中。供应商建议在客户端机器上使用最新的Java更新，并在不需要时从浏览器禁用Java执行。

Dell说虽然一些访问方法利用Java技术进行基于代理的浏览器访问，但也有替代的访问方法，如使用ActiveX进行隧道连接、移动连接或基于代理的浏览器访问。供应商建议管理员确定Java是否适合特定的部署。

- F5说BIG-IP Edge Gateway 3900不受CVE-2013-0422的影响，因为这个漏洞特别适用于不可信的代码，而且BIG-IP不允许其他来源的代码在平台上运行。此外，BIG-IP使用的是Java 1.6，根据F5的说法，这个漏洞只会影响Java 1.7。

--思科指出对端点高级功能有一些影响，特别是当用户由于CVE-2013-0422警报而决定禁用Java时。依赖于Java的主要组件是ASDM配置软件和AnyConnect客户端的Web启动/Web部署。后者可以通过使用AnyConnect的预部署来规避。