Oracle每季度发布一次重要补丁更新咨询,其中包含“ Oracle Java SE风险表”。在此矩阵中,我看到了所有新发现以及带有受影响的受支持版本信息的详细信息。我担心的是,在此列中,大多数主要版本仅列出了一个次要版本,例如CVE-2018-2938仅列出了 6 u191, 7 u181, 8 u172。如果这仅意味着列出的确切版本受到影响(并且之前没有任何影响,这将是令人惊讶的),或者所有先前的版本都受到影响,我没有任何评论。
检查此报告中的其他表,例如“ Oracle MySQL Risk Matrix”或“ Oracle Retail Applications Risk Matrix”,我可以看到同一列中列出的版本,并注释为“ and before”或标记为1.x,包括所有以前的版本版本。
是否有任何官方声明,我们应该如何解释“ Oracle Java SE Risk Matrix”中的“受影响的支持的版本”列?是仅列出的版本还是所有以前的版本?如果所有先验都受到影响,为什么他们不以与其他表格中相同的方式提及或标记?
我希望使用一些官方声明或URL,因为这确实令人困惑,并且作为我们不应该猜测的安全性问题。
谢谢
Zsolt