El mantenedor de ojdkbuild aquí, para obtener la lista de CVEs de página de descargas que debe seguir anuncio que contiene algunos detalles sobre la publicación y, por lo general, enlaces a Oracle Java SE Risk Matrix .
Sí, puede suponer que las compilaciones OpenJDK de ojdkbuild incluyen la misma lista de CVE que las compilaciones RHEL OpenJDK.
En general, la lista de CPU de Oracle vinculada anteriormente es exactamente la misma que la del enlace RHSA que usted publicó. Puede haber matices, por ejemplo, si RHEL (y como consecuencia - ojdkbuild) no usa la versión de la biblioteca de terceros (como libjpeg) que es vulnerable.
Tenga en cuenta que esto cubre solo OpenJDK, WebStart y OpenJFX (que no son parte de OpenJDK) se manejan por separado.
También puede usar listas de problemas desde aarch64-port maillist (aarch64-jdk8u es una base para las compilaciones RHEL para todos los arcos) y de IcedTea 8, notas de la versión para realizar una comprobación cruzada.
Lea otras preguntas en las etiquetas cve