这是关于 Oracle 的关键更新
http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html#AppendixJAVA
是否有可能通过下载 OpenJDK 源代码了解真正存在的安全漏洞以及为修复这些漏洞而进行了哪些代码更改?
如果我主要检查 CVE 详细信息,它会显示“Oracle Java SE 6u95、7u80 和 8u45 中的未指定漏洞”。
当它说 6u95,7u80 受到影响时,是否意味着早期版本(6u31,7u55)也受到影响?
是的,有可能知道1。询问甲骨文。不过,您可能需要一份支持合同,并且您可能需要签署保密协议等。
您可以做的另一件事是等到相应的补丁进入可公开访问的 OpenJDK 源代码库。
甲骨文对此持谨慎态度,原因与其他软件制造商对漏洞持谨慎态度的原因相同。他们试图通过让坏人更难制造漏洞来保护他们的客户。更重要的是,甲骨文(或任何人)总是有遗漏某些东西的风险。
当它说 6u95,7u80 受到影响时,是否意味着早期版本(6u31,7u55)也受到影响?
你应该这样假设。如果这还不够好,请联系 Oracle。
1 - 实际上,这是基于假设,但我很确定具有明显“需要知道”的“足够有价值的 Java 客户”将被授予访问此类信息的权限。