Риск безопасности автономной установки JIRA под управлением JRE версии 1.6.0_26 против 1.6.0_29 (последняя версия)

Atlassian недавно представил автономный установщик, который устанавливает JIRA вместе со своим собственным JRE. К сожалению, комплекты JRE Atlassian с этим установщиком - 1.6.0_26, тогда как текущая версия JRE - 1.6.0_29. Это потенциально касается того, что в _26 были уязвимости, которые были исправлены в последующих версиях. В настоящее время мы используем версию JIRA в комплекте с установщиком, и один из подрядчиков рекомендовал отказаться от этого для установленной системы JRE.

Мой вопрос заключается в следующем: какова реальная угроза безопасности, связанная с продолжением использования версии _26 JRE, входящей в комплект установщика? У нас нет общедоступного доступа к нашей установке JIRA (только около 20 сотрудников и подрядчиков могут войти в нашу JIRA), и она доступна только на поддомене домена, на котором нет общедоступного веб-сайта. Если существует несущественный риск, связанный с использованием старой JRE, почему Atlassian не обновил JRE по умолчанию?