... da kann ich mir ein paar Anmerkungen nicht verkneifen:
@ von außen: Bei allen aufgeführten Problemen handelt es sich um Probleme mit der <bold>IBM</bold> Implementierung der JVM, teils AS400 spezifisch (unter allen älteren Releases war das immer AS400 spezifisch)
@ ein Schelm...:
<IBM>Important note: IBM recommends that all users running unsupported versions of affected products upgrade to supported and fixed version of affected products.</IBM>
Anzumerken ist noch, dass dieses Dokument lausig zusammengeschustert ist, unter CVE-2014-4268 wird auf einen Bug in Swing verwiesen, das auf der AS400 nicht implementiert ist.

@einige AS400 spezifische Sicherheitslücken, die mit Java nichts zu tun haben:
- Software: jede Software, die Commitment Controll nicht nutzt, stellt eine Sicherheitslücke für die Integrität der Daten dar.
- OS/400: Seit mehreren Releases gibt es eine Sicherheitslücke von Scheunentor Ausmaß im ADDJOBSCDE, die es unter oft anzutreffenden Konstellationen Benutzern erlaubt sich selber beliebige Berechtigungen zuzueignen, Für dieses Problem gab es nie ein PTF.
- adopted Authority: Die Mehrzahl der AS/400 Installationen, die ich in > 20 Jahren nunmehr gesehen habe, lassen sich auf Grund von Implementierungsmängeln ,mit minimalen Rechten völlig aushebeln. Dieses Problem betrifft insbesondere zahlreiche "Standard" Lösungen, ist aber auch in Inhouse Lösungen weit verbreitet. Behebungen hierfür sind oft so aufwändig, dass die bekannten Probleme hingenommen werden.

D*B