Java CVEには影響を受けるバージョンのみが含まれていると信頼できますか?
CvedetailsでOracle Java JRE脆弱性リストを見ると、影響を受けるバージョンがテキストで示され、通常は説明の下の表にも示されています。ただし、この脆弱性がリストされているバージョンのみに限定されているとは確信していません。以下はCVE-2019-2816( https://www.cvedetails.com/cve/CVE-2019-2816/ )について記述されています:
Java SE、Java SEの脆弱性Oracle Java SEの組み込みコンポーネント(サブコンポーネント:ネットワーク)。影響を受けるサポートされているバージョンはJava SE:7u221、8u212、11.0.3および12.0.1です。 Java SE Embedded:8u211。
下にあるのは、JREバージョン1.8(Java 8)アップデート211および212を含む、影響を受けるバージョンの一覧表です。Java 7アップデート221も含まれています。したがって、以前のJava 8アップデートに含まれていると思います。同じように。現在Java 8 update 162を使用しています。一方、それ以降のバージョンのJava 8およびJava 7に含まれていた修正に含まれている可能性があります。
影響を受けるすべてのバージョンの表は、そのWebサイトの一部のライブラリについて非常に詳細ですが、常に適切に入力されているとは限りません。反例として、「このバージョンまでのすべてが影響を受ける」という脆弱性がありますが、影響を受けるバージョンの表の唯一のコンテンツとして以前のバージョンのみがリストされています。
私がまだ発見していない、これについてより明確なより良いサイトはありますか?または、古いバージョンを使用しているため、最新のJavaの脆弱性が私たちに影響を与えないことを信頼できますか?私の現在の推測では、最新バージョンのみがセキュリティ研究者によってテストされていると思います。
追加した見積もりで:
Java SE、Java SE組み込みコンポーネントOracleの脆弱性Java SE(サブコンポーネント:ネットワーク))の脆弱性影響を受けるサポートされているバージョンはJava SE:7u221、8u212、11.0.3および12.0.1; Java SE Embedded:8u211です。
追加された強調は私のものです。そこにある以前の更新が何らかの形で脆弱性の影響を受けていると想定しても、かなり安全です。 Javaがsupportedではない場合)、Oracleはそれらのエクスプロイトをテストするためのリソースを提供しません。
迷惑ではありませんか?はい、安全のために、Javaを使用して、脆弱性は記載されたバージョンだけでなく、以前のすべてのバージョンに影響を与えると想定する必要があります。
オラクルはすべての影響を受けるバージョンを決定するために使用していましたが、私は彼らがその頃にその慣行をやめたと思いますJava 8が導入されました。それを行うが、私は彼らがCVEのCPEに以前のすべてのバージョンを言ってもらいたいと思っているが、そうではない。