Oracle solía descubrir en qué versiones de las vulnerabilidades de Java se introdujeron, sin embargo, con Java 8, Oracle solo dice que hay una vulnerabilidad en la última versión de una rama (Java 6, 7 u 8). Lo más seguro (y lo que yo instruyo a nuestros equipos) es asumir que cualquier vulnerabilidad está en todas las versiones anteriores de Java. No siempre será cierto, pero es lo más seguro de asumir.
Steffan tiene razón y quiere comprender si una vulnerabilidad es explotable o no (también conocida como evaluación de vulnerabilidad). Desafortunadamente, cuando Oracle realizó el cambio señalado anteriormente, también hicieron sus descripciones de vulnerabilidad mucho más vagas. Por ejemplo, la descripción de CVE-2017-10116 (que se corrigió en el informe crítico trimestral de julio La actualización del parche) indica que "Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos para comprometer Java SE, Java SE Embedded, JRockit. Los ataques exitosos requieren la interacción humana de una persona que no sea el atacante y mientras la vulnerabilidad está en Java SE. .. "Con esa descripción tendrías que asumir que cualquier protocolo es vulnerable. A menudo puede encontrar mejores descripciones en el sitio de Red Hat. Vaya al enlace CVE allí y luego haga clic en el enlace Bugzilla y obtendrá una información mucho más útil. descripción del problema: "Se descubrió que la clase LDAPCertStore en el componente de Seguridad de OpenJDK seguía las referencias de LDAP a direcciones URL arbitrarias. Una dirección URL de referencia de LDAP especialmente diseñada podría hacer que LDAPCertStore se comunique con servidores que no sean LDAP". Red Hat no siempre tendrá un Bugzilla y si lo tienen de vez en cuando estará restringido, pero por lo general le brinda mucha más información.