Oracle 警告 Java 8 用户：不交钱你就不安全

Oracle销售代表发送的电子邮件称，针对 Java 8即将发布的关键安全更新仅供许可用户使用，由于邮件措辞让一些人觉得这简直就是一种勒索或恐吓策略，已引发了争议。

2018年11月Oracle宣布，2019年1月之后，Java 8 SE的安全更新将不再供没有有效许可证的企业或商业用户使用。

Oracle在一份公告中解释：“Java SE 8正在经历旧版本的公共更新终结（End of Public Updates）过程。Oracle将继续提供Java SE 8的免费公开更新和自动更新，针对个人用户至少持续到2020年12月底，针对商业用户至少持续到2019年1月。个人用户继续通过java.com（或通过自动更新）从Oracle获得免费的Java SE 8更新，商业用户继续按照BCL许可证从OTN免费获得Java SE 8的免费更新。从2019年4月的计划季度关键补丁更新开始，Oracle客户可以通过My Oracle Support以及通过企业自动更新（适用的话），从Oracle访问Java SE 8的更新，供商业使用（依次访问My.Oracle Support Note 1439822.1 - All Java SE Downloads on MOS – Requires Support Login）。”

在HackerOne的创始人兼首席技术官Alex Rice收到的邮件中，Oracle的一名Java客户经理声称“Java 8的非公开可用的关键补丁更新”将于2019年4月16日发布，拥有有效许可证的客户才可以享用。邮件继续称，如果没有安装这些更新，可能导致“你的服务器和桌面环境暴露且易受攻击。”

有关Java 8关键更新的Oracle电子邮件

虽然Oracle之前确实宣布Java 8的未来更新仅适用于付费的许可证持有者，但Rice认为客户代表将这作为一种恐吓手段，说服他购买许可证，特别是声称“Java版本或以后版本”将需要许可证。

让人更为奇怪的是，Rice告诉BleepingComputer，HackerOne“与Oracle没有任何商业关系”；这封邮件“出人意料”。

邮件全文如下：

针对Rice关于这封邮件的推文，一些人辩称Oracles要求用户付费，将寿终正寝的产品才能获得支持。对于Rice和其他人来说，这封邮件更像是一种赎金要求、敲诈勒索或恐吓策略。

Hi，我根本不运行Java。这封销售垃圾邮件是我与Oracle有过的唯一联系。我可没有义务研读这种上钩调包诱售法商业模式背后敲诈客户的用意，这种商业模式有意让企业组织和最终用户的数据“暴露且易受攻击”。