我看到很多Java CVE与运行恶意applet有关 - 但我很少看到CVE会影响JVM的服务器端组件。示例:http://www.f-secure.com/v-descs/exploit_java_cve_2012_4681_h.shtml
任何人都可以解释与示例或来源的差异(可能是服务器端与客户端cves的列表?)比较两者吗?
答案 0 :(得分:4)
一般来说,您没有看到很多影响服务器端的CVE,因为服务器端实际上从不运行用户提供的代码(或攻击者的代码)。服务器端的漏洞主要是无法正确处理输入,配置问题,因此不是Java的错误。
然而,客户端(applet是一个很好的例子)有很多CVE,因为用户的本地JVM实际上运行的是由攻击者提供的字节代码。然后可以触发和利用JVM中的漏洞。这些相同的漏洞通常出现在服务器端,但攻击者无法访问它们。
您没有看到许多服务器端CVE的另一个原因是,大多数服务器端漏洞都是特定于应用程序/实现的,并且只影响一个应用程序。但是有quite a few CVEs for big web apps like WordPress。