我能相信Java只包含受影响的版本吗？

Question

当查看cvedetails上的Oracle Java JRE漏洞列表时，它们会在文本中列出受影响的版本，通常还会在描述下面的一个表中列出。但是，我并不确信该漏洞仅限于列出的版本。以下是关于CVE-2019-2816 (https://www.cvedetails.com/cve/CVE-2019-2816/)的说明：

Oracle Java SE的Java嵌入式组件(子组件:网络)中存在漏洞。受影响的支持版本是Java : 7u221、8u212、11.0.3和12.0.1；Java : 8u211。

下面是一个表，列出了受影响的版本，包括JRE版本1.8 (Java 8)更新211和212。还有Java 7更新221。因此，我猜想它也包含在以前的Java 8更新中。我们目前正在使用Java 8更新162。另一方面，它可能在Java 8和Java 7中包含的补丁中，在以后的版本中。

尽管包含所有受影响版本的表对于该网站上的一些库非常详细，但我知道它们并不总是被正确地填充。反例是一个漏洞，上面写着“到此版本为止的任何内容都会受到影响”，但只将前一个版本作为受影响版本的表的唯一内容列出。

有没有更好的网站，我只是没有发现，这是更清楚的这一点？或者我可以相信，由于使用旧版本，最新的Java漏洞不会影响我们？我目前的猜测是，只有最新的版本通过了安全研究人员的测试。

Answer 1

你在引文中补充说：

Oracle Java SE的Java嵌入式组件(子组件:网络)中存在漏洞。受影响的支持版本是Java : 7u221、8u212、11.0.3和12.0.1；Java : 8u211。

补充的重点是我的。您可以非常安全地假设前面的更新会受到某种形式的漏洞的影响。如果不支持Java版本，那么Oracle就不会将资源专门用于测试它们的漏洞。

Answer 2

很烦人不是吗？是的，为了安全起见，在Java中，您需要假设漏洞不仅会影响声明的版本，还会影响所有早期版本。

Oracle曾经确定所有受影响的版本，但我认为他们在Java 8引入时就停止了这种做法。要确定所有受影响的版本，我需要做很多工作，这样我才能理解他们为什么不这么做，但我希望他们至少让CVEs中的CPE说出所有早期版本--但他们没有。