web-dev-qa-db-ja.com

OpenJDKビルドで解決されたCVEのリスト

https://github.com/ojdkbuild/ojdkbuild/releases で公開されているOpenJDKビルドで解決されたCVEのリストは何ですか?

このビルドの例: https://github.com/ojdkbuild/ojdkbuild/releases/tag/1.8.0.151-1

あるいは、OpenJDKビルドには常にRedHat OpenJDKビルドと同じCVEリストが含まれていると想定できます https://www.redhat.com/archives/rhsa-announce/2017-October/msg00031.html

2
Michael

ここでojdkbuildメンテナ、 ダウンロードページ からCVEのリストを取得するには、 announcement リリースに関するいくつかの詳細を含み、通常 Oracle Java SEリスクマトリックス へのリンク。

はい、あなたはojdkbuild OpenJDKビルドがRHEL OpenJDKビルドと同じCVEリストを含んでいると想定できます。

一般に、上記にリンクされているOracle CPUリストは、投稿したRHSAリンクのリストとまったく同じです。たとえば、RHEL(およびその結果-ojdkbuild)が脆弱なサードパーティライブラリ(libjpegなど)のバージョンを使用しない場合など、微妙な違いが生じる可能性があります。

これはOpenJDK自体にのみ適用され、WebStartとOpenJFX(OpenJDKの一部ではない)は別々に処理されることに注意してください。

aarch64-port maillist (aarch64-jdk8uはすべてのアーチのRHELビルドのベース)および対応する クロスチェック用のIcedTea 8リリースノート

3
alexkasko