Kritieke Java-patch kost klanten geld

Oracle wijst Java-gebruikende klanten erop dat het met patches voor Java komt die kritiek zijn qua security. De release met deze patches wordt niet publiekelijk beschikbaar gemaakt, omdat ze zijn voor het oudere Java 8. Die versie van Oracle's programmeertaal annex softwareplatform geniet namelijk sinds januari dit jaar geen gratis support meer. Tegen betaling zijn de kritieke patches wel te verkrijgen.

Jasper BakkerredacteurMeer van deze auteur

De aankomende kwartaalrelease voor Java 8 is de eerste die niet publiekelijk beschikbaar zal zijn. Java-maker Oracle wijst klanten er in een mailing op dat deze update naast functionaliteitsverbeteringen ook fixes voor kritieke bugs brengt. Voor gebruik van applicaties en servers die Java draaien, is een Oracle-licentie vereist wat óók geldt voor non-Oracle applicaties en servers. Deze licentieverplichting geldt vanaf Java 8, wat sinds januari dit jaar geen publiekelijk verkrijgbare patches meer krijgt.

Bedrijven eerder

Het einde van openbaar verkrijgbare updates geldt voor zakelijke gebruikers vanaf januari jongstleden, maar ligt voor consumenten op december volgend jaar. Oracle heeft dit in november aangekondigd en uiteengezet in een blogpost. De leverancier belicht daar zijn roadmap voor Java SE, wat verschillende afkapmomenten voor de support omvat. Voor het in maart 2014 uitgekomen Java 8 is het einde begin dit jaar gekomen.

De eerstkomende update staat gepland voor 16 april, maar is dus alleen verkrijgbaar voor klanten met een betaalde licentie. Zij kunnen zich wenden tot de My Oracle Support-site of eventueel via automatische update voor bedrijfsgebruik, indien dat van toepassing is. In de mailing aan Java-gebruikende organisaties wijst Oracle zijn klanten erop dat patching en updaten niet beschikbaar is zonder juiste licentiëring. En dat op zijn beurt kan er voor zorgen dat de server- en desktopomgevingen van klanten kwetsbaar zijn, aldus de mail vanuit Oracle.

Bugbountybaas boos

CTO en oprichter Alex Rice van bugbounty-bedrijf HackerOne heeft de waarschuwende Oracle-mail over kritieke patches voor Java 8 ontvangen. Hij is er niet bepaald over te spreken, aldus zijn oordeel in de tweet over deze zakenpraktijk. Bovendien draait zijn bedrijf helemaal geen Java, stelt Rice in een vervolgtweet.

Softwaremaker Oracle, die Java ooit in handen heeft gekregen met de overname van Sun Microsystems, heeft enkele jaren terug gekampt met een flink uitgelopen ontwikkeltraject voor Java-versies 8 en 9. Daarna is de leverancier overgegaan op een sneller releasetempo, wat dus ook gevolgen heeft voor de support.

'Proces, geen omslagpunt'

In een blogpost van januari dit jaar heeft Oracle uitgelegd wat het einde van niet-publieke updates betekent. Java 8 volgt het pad wat versies 5, 6 en 7 in respectievelijk 2009, 2013 en 2015 al hebben afgelegd, aldus de leverancier. Het einde van publieke beschikbaarheid van updates is niet een gebeurtenis, liet Oracle in september al weten, maar een proces.

Oracle Sales: Hello. Could we interest you in a "Non-publicly available, critical update"?

"Without proper licensing ... [leaves] your environment exposed and vulnerable" ???

What a steaming hot dumpster fire. pic.twitter.com/V8JicyxiL7
— Alex Rice (@senorarroz) March 25, 2019