OpenJDK 11.0.17 リリースノート

Red Hat は、一部の OpenJDK のメジャーバージョンをサポートします。一貫性のため、これらのバージョンは Oracle JDK 向けに LTS を規定するバージョンと同じです。

OpenJDK のメジャーバージョンは、最初に導入された時点から最低 6 年間サポートされます。

OpenJDK 11 の Microsoft Windows および Red Hat Enterprise Linux サポートは 2024 年 10 月までです。

OpenJDK のライフサイクルおよびサポートポリシー を参照してください。

Red Hat Enterprise Linux (RHEL) の OpenJDK には、OpenJDK のアップストリームディストリビューションの構造上の変更が数多く含まれています。Microsoft Windows バージョンの OpenJDK は、RHEL の更新にできる限り従います。

以下は、Red Hat OpenJDK 11 における最も注目すべき変更の一覧です。

最新の Open JDK11 リリースには、新機能が含まれている可能性があります。さらに、最新リリースは、以前の Open JDK 11 リリースに由来する機能を強化、非推奨、または削除する可能性があります。

OpenJDK の新機能および拡張された機能

次のリリースノートで、OpenJDK 11.0.17 リリースに含まれる新機能および機能拡張を確認してください。

cpu.shares パラメーターが無効になっている

OpenJDK 11.0.17 リリースより前は、OpenJDK は、cgroups とも呼ばれる Linux コントロールグループに属する cpu.shares パラメーターの誤った解釈を使用していました。このパラメーターにより、Java 仮想マシン (JVM) が使用可能な CPU よりも少ない CPU を使用する可能性があり、コンテナー内で動作するときの JVM の CPU リソースとパフォーマンスに影響を与える可能性があります。

OpenJDK 11.0.17 リリースでは、スレッドプールのスレッド数を決定するときに cpu.shares パラメーターを使用しないように JVM が設定されます。この設定を元に戻したい場合は、JVM の起動時に -XX:+UseContainerCpuShares 引数を渡します。

JDK-8281181 (JDK バグシステム) を参照してください。

jdk.httpserver.maxConnections システムプロパティー

OpenJDK 11.0.17 は、新しいシステムプロパティー jdk.httpserver.maxConnections を追加します。これにより、HttpServer サービスに対して接続制限が指定されていないというセキュリティー上の問題が修正され、受け入れられた接続と確立された接続が無期限に開いたままになる可能性があります。

jdk.httpserver.maxConnections システムプロパティーを使用して、以下のように HttpServer サービスの動作を変更できます。

JDK-8286918 (JDK Bug System) を参照してください。

JFR を使用してオブジェクトのデシリアライゼーションを監視する

JDK Flight Recorder (JFR) を使用して、オブジェクトのデシリアライズを監視できるようになりました。デフォルトでは、OpenJDK 11.0.17 は JFR の jdk.deserialization イベント設定を無効にします。この機能を有効にするには、JFR 設定の event-name 要素を更新します。以下に例を示します。

<?xml version="1.0" encoding="UTF-8"?>
<configuration version="2.0" description="test">
 <event name="jdk.Deserialization">
 <setting name="enabled">true</setting>
 <setting name="stackTrace">false</setting>
 </event>
</configuration>

<?xml version="1.0" encoding="UTF-8"?>
<configuration version="2.0" description="test">
 <event name="jdk.Deserialization">
 <setting name="enabled">true</setting>
 <setting name="stackTrace">false</setting>
 </event>
</configuration>

JFR を有効にし、デシリアライゼーションイベントを監視するように JFR を設定すると、監視対象のアプリケーションがオブジェクトをデシリアライズしようとするたびに、JFR によってイベントが作成されます。次に、JFR のシリアライゼーションフィルターメカニズムは、監視対象アプリケーションからデシリアライズされたオブジェクトを受け入れるか拒否するかを決定できます。

JDK-8261160 (JDK Bug System) を参照してください。

SHA-1 署名 JAR

OpenJDK 11.0.17 リリースでは、SHA-1 アルゴリズムで署名された JAR はデフォルトで制限され、署名されていないかのように扱われます。これらの制限は、次のアルゴリズムに適用されます。

さらに、制限は署名済みの Java Cryptography Extension (JCE) プロバイダーにも適用されます。

以前にタイムスタンプが付けられた JAR の互換性リスクを軽減するために、この制限は、SHA-1 アルゴリズムで署名され､January 01, 2019 より前にタイムスタンプが付けられた JAR には適用されません。この例外は、将来の OpenJDK リリースで削除される可能性があります。

JAR ファイルが制限の影響を受けるかどうかを判断するには、CLI で次のコマンドを発行します。

jarsigner -verify -verbose -certs

$ jarsigner -verify -verbose -certs

前のコマンドの出力から、SHA1、SHA-1、または disabled のインスタンスを検索します。さらに、JAR が署名なしとして扱われることを示す警告メッセージを検索します。以下に例を示します。

Signed by "CN="Signer""
Digest algorithm: SHA-1 (disabled)
Signature algorithm: SHA1withRSA (disabled), 2048-bit key

WARNING: The jar will be treated as unsigned, because it is signed with a weak algorithm that is now disabled by the security property:

jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024, DSA keySize < 1024, SHA1 denyAfter 2019-01-01

Signed by "CN="Signer""
Digest algorithm: SHA-1 (disabled)
Signature algorithm: SHA1withRSA (disabled), 2048-bit key

WARNING: The jar will be treated as unsigned, because it is signed with a weak algorithm that is now disabled by the security property:

jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024, DSA keySize < 1024, SHA1 denyAfter 2019-01-01

新しい制限の影響を受けるすべての JAR をより強力なアルゴリズムに置き換えるか、再署名することを検討してください。

JAR ファイルがこの制限の影響を受ける場合は、アルゴリズムを削除して、SHA-256 などのより強力なアルゴリズムでファイルに再署名できます。OpenJDK 11.0.17 の SHA-1 署名付き JAR に対する制限を削除する必要があり、セキュリティーリスクを受け入れる場合は、次のアクションを実行できます。

JDK-8269039 (JDK バグシステム) を参照してください。

HTTPURLConnection の keep-alive 動作を制御するためのシステムプロパティー

OpenJDK 11.0.17 リリースには、HTTPURLConnection の キープアライブ 動作を制御するために使用できる次の新しいシステムプロパティーが含まれています。

OpenJDK 11.0.17 リリースより前では、キープアライブ 時間が指定されていないサーバーまたはプロキシーが原因で、ハードコードされたデフォルト値によって定義された期間、アイドル接続が開いたままになる場合がありました。

OpenJDK 11.0.17 では、システムプロパティーを使用して keep-alive の時間のデフォルト値を変更できます。keep-alive プロパティーは、サーバーまたはプロキシーのいずれかの HTTP keep-alive 時間を変更することでこの動作を制御します。これにより、OpenJDK の HTTP プロトコルハンドラーは、指定された秒数が経過した後にアイドル状態の接続を閉じます。

OpenJDK 11.0.17 リリースより前では、次のユースケースで、HTTPURLConnection の特定の keep-alive 動作が発生していました。

OpenJDK 11.0.17 リリースでは、前述の動作はそのままですが、2 番目と 3 番目に挙げた使用例におけるタイムアウトは、デフォルトの設定に依存するのではなく、http.keepAlive.time.server および http.keepAlive.time.proxy プロパティーを使用して指定できるようになっています。

JDK-8278067 (JDK バグシステム) を参照してください。

デフォルトの PKCS #12 MAC アルゴリズムを更新

OpenJDK 11.0.17 は、PKCS #12 キーストアのデフォルトのメッセージ認証コード (MAC) アルゴリズムを更新して、SHA-1 関数ではなく SHA-256 暗号化ハッシュ関数を使用します。SHA-256 関数は、データを保護するためのより強力な方法を提供します。

この更新は、keystore.pkcs12.macAlgorithm および keystore.pkcs12.maclerationCount システムプロパティーで確認できます。

この更新された MAC アルゴリズムでキーストアを作成し、そのキーストアを OpenJDK 11.0.12 より前のバージョンの OpenJDK で使用しようとすると、java.security.NoSuchAlgorithmException メッセージが表示されます。

OpenJDK 11.0.12 より前の OpenJDK バージョンで以前のキーストアを使用するには、keystore.pkcs12.legacy システムプロパティーを true に設定して、MAC アルゴリズムを元に戻します。

JDK-8267880 (JDK Bug System) を参照してください。

非推奨および削除された機能

次のリリースノートで、OpenJDK 11.0.17 リリースで非推奨または削除された既存の機能を確認してください。

非推奨の Kerberos 暗号化タイプ

OpenJDK 11.0.17 は、des3-hmac-sha1 および rc4-hmac Kerberos 暗号化タイプを廃止します。デフォルトでは、OpenJDK 11.0.17 はこれらの暗号化タイプを無効にしますが、次のアクションを完了して有効にすることができます。

次の krb5.conf 設定ファイルの設定のいずれかに暗号化タイプを明示的にリストすることで、弱い暗号化タイプのサブセットを無効にすることができます。

JDK-8139348 (JDK Bug System) を参照してください。

次のアドバイザリーは、このリリースに含まれるバグ修正および CVE 修正に対して発行されています。

改訂日時: 2022-11-05 19:56:50 +1000