Red Hat build of OpenJDK 21.0.2 のリリースノート
概要
はじめに
Open Java Development Kit (OpenJDK) は、Java Platform Standard Edition (Java SE) のオープンソース実装です。Red Hat build of OpenJDK は、8u、11u、17u、21u の 4 つのバージョンで利用できます。
Red Hat build of OpenJDK 向けパッケージは、Red Hat Enterprise Linux および Microsoft Windows で利用でき、Red Hat Ecosystem Catalog の JDK および JRE として同梱されています。
Red Hat build of OpenJDK ドキュメントへのフィードバック
エラーを報告したり、ドキュメントを改善したりするには、Red Hat Jira アカウントにログインし、課題を送信してください。Red Hat Jira アカウントをお持ちでない場合は、アカウントを作成するように求められます。
手順
- 次のリンクをクリックして チケットを作成します。
- Summary に課題の簡単な説明を入力します。
- Description に課題や機能拡張の詳細な説明を入力します。問題があるドキュメントのセクションへの URL を含めてください。
- Submit をクリックすると、課題が作成され、適切なドキュメントチームに転送されます。
多様性を受け入れるオープンソースの強化
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ をご覧ください。
第1章 Red Hat build of OpenJDK のサポートポリシー
Red Hat は、Red Hat build of OpenJDK の一部のメジャーバージョンを製品でサポートします。一貫性を保つために、これらのバージョンは、Oracle が Oracle JDK 向けに長期サポート (LTS) を指定しているバージョンと同じになります。
Red Hat build of OpenJDK のメジャーバージョンは、最初に導入された時点から少なくとも 6 年間サポートされます。詳細は、OpenJDK のライフサイクルおよびサポートポリシー を参照してください。
RHEL 6 のライフサイクルは 2020 年 11 月に終了します。このため、Red Hat build of OpenJDK は、サポート対象の設定として RHEL 6 をサポートしていません。
第2章 アップストリームの OpenJDK 11 との相違点
Red Hat Enterprise Linux (RHEL) の Red Hat build of OpenJDK には、OpenJDK のアップストリームディストリビューションの構造上の変更が数多く含まれています。Red Hat build of OpenJDK の Microsoft Windows バージョンは、RHEL の更新にできる限り従います。
次のリストは、Red Hat build of OpenJDK 11 の最も注目すべき変更点を詳しく示しています。
- FIPS のサポート。Red Hat build of OpenJDK 11 は、RHEL が FIPS モードであるかどうかを自動的に検出し、Red Hat build of OpenJDK 11 がそのモードで動作するように自動的に設定します。この変更は、Microsoft Windows 向けの Red Hat build of OpenJDK ビルドには適用されません。
- 暗号化ポリシーのサポート。Red Hat build of OpenJDK 11 は、RHEL から有効な暗号化アルゴリズムとキーサイズの制約のリストを取得します。これらの設定コンポーネントは、トランスポート層セキュリティー (TLS) 暗号化プロトコル、証明書パス検証、および署名された JAR によって使用されます。さまざまなセキュリティープロファイルを設定して、安全性と互換性のバランスをとることができます。この変更は、Microsoft Windows 向けの Red Hat build of OpenJDK ビルドには適用されません。
-
RHEL の Red Hat build of OpenJDK は、アーカイブ形式のサポート用の
zlib
、イメージのサポート用のlibjpeg-turbo
、libpng
、giflib
などのネイティブライブラリーと動的にリンクします。また、RHEL はフォントのレンダリングと管理のために、Harfbuzz
およびFreetype
に対して動的にリンクします。 -
src.zip
ファイルには、Red Hat build of OpenJDK に同梱されるすべての JAR ライブラリーのソースが含まれています。 - RHEL の Red Hat build of OpenJDK は、タイムゾーン情報のソースとして、システム全体のタイムゾーンデータファイルを使用します。
- RHEL の Red Hat build of OpenJDK は、システム全体の CA 証明書を使用します。
- Microsoft Windows の Red Hat build of OpenJDK には、RHEL で利用可能な最新のタイムゾーンデータが含まれています。
- Microsoft Windows の Red Hat build of OpenJDK は、RHEL から入手可能な最新の CA 証明書を使用します。
関連情報
- システムが FIPS モードであるかどうかの検出の詳細は、Red Hat RHEL Planning Jira の システム FIPS 検出の改善 の例を参照してください。
- 暗号化ポリシーの詳細については、Using system-wide cryptographic policies を参照してください。
第3章 Red Hat build of OpenJDK の機能
最新の Red Hat build of OpenJDK 11 リリースには、新機能が含まれる可能性があります。さらに、最新リリースは、以前の Red Hat build of OpenJDK 11 リリースに由来する機能を強化、非推奨、または削除する可能性があります。
その他の変更点やセキュリティー修正は、OpenJDK 11.0.23 Released を参照してください。
Red Hat build of OpenJDK の新しい機能と機能拡張
Red Hat build of OpenJDK 8.0.392 リリースが提供する新しい機能と機能拡張について理解するには、以下のリリースノートを参照してください。
デフォルトで有効になっている XML 署名の安全な検証モード
Red Hat build of OpenJDK 11.0.23 では、XML 署名セキュア検証モードがデフォルトで有効になっています。セキュアな検証モードの制限と制約を制御するには、jdk.xml.dsig.secureValidationPolicy
システムプロパティーを使用できます。
セキュアな検証モードを無効にする場合は、DOMValidateContext.setProperty ()API を使用して、
されていることを確認します。セキュアな検証モードを無効にする前に、関連するセキュリティーリスクを考慮してください。
org.jcp.xml.dsig.secureValidation
プロパティーが Boolean.FALSE
に設定
JDK-8317373 (JDK Bug System) を参照してください。
XML Security for Java が Apache Santuario 3.0.3 に更新されました
Red Hat build of OpenJDK 11.0.23 では、XML 署名の実装は Apache Santuario 3.0.3 に基づいています。
この機能強化により、次の 4 つの SHA3 ベースの RSA-MGF1 SignatureMethod
アルゴリズムが導入されました。
-
SHA3_224_RSA_MGF1
-
SHA3_256_RSA_MGF1
-
SHA3_384_RSA_MGF1
-
SHA3_512_RSA_MGF1
更新リリースで javax.xml.crypto.dsig.SignatureMethod
API を変更して新しいアルゴリズムに定数値を提供するため、これらのアルゴリズムには次の同等の文字列リテラル値を使用します。
-
http://www.w3.org/2007/05/xmldsig-more#sha3-224-rsa-MGF1
-
http://www.w3.org/2007/05/xmldsig-more#sha3-256-rsa-MGF1
-
http://www.w3.org/2007/05/xmldsig-more#sha3-384-rsa-MGF1
-
http://www.w3.org/2007/05/xmldsig-more#sha3-512-rsa-MGF1
この機能強化により、ED25519
および ED448
楕円曲線アルゴリズムのサポートも導入されます。これは、Edwards-curve Digital Signature Algorithm (EdDSA)署名方式です。
アップストリームコミュニティーバージョンの Apache Santuario 3.0.3 とは対照的に、JDK は引き続き here ()
関数をサポートしています。ただし、here ()
関数の将来のサポートは保証されません。新しい XML 署名で here ()
を使用しないでください。また、現在 here ()
を使用している XML 署名を更新して、この関数の使用を停止する必要もあります。here ()
関数はデフォルトで有効になっています。here ()
関数を無効にするには、jdk.xml.dsig.hereFunctionSupported
システムプロパティーが false
に設定されていることを確認します。
JDK-8317373 (JDK Bug System) を参照してください。
SystemTray.isSupported ()
メソッドは、ほとんどの Linux デスクトップで false
を返します。
Red Hat build of OpenJDK 11.0.23 では、SystemTray API を正しくサポートしていないシステムで java.awt.
メソッドは SystemTray
.isSupported ()false
を返します。この機能拡張は、SystemTray
API 仕様に準拠しています。
SystemTray
API は、システムデスクトップのタスクバーと対話して通知を提供します。SystemTray
には、アプリケーションを表すアイコンが含まれている場合もあります。基盤となるプラットフォームの問題により、タスクバーアイコンの GNOME デスクトップサポートが数年間正しく機能しませんでした。このプラットフォームの問題は、GNOME デスクトップで SystemTray
サポートを提供する JDK の機能に影響します。この問題は通常、GNOME Shell 44 以前を使用するシステムに影響します。
正しい SystemTray
サポートがないため、一部のシステムではこの API 拡張機能が長時間続くため、影響を受けるシステムで false
を返すことは、ユーザーに最小限の影響を及ぼす可能性があります。
JDK-8317373 (JDK Bug System) を参照してください。
特定のルート証明書 R1 および E1 ルート証明書が追加される
Red Hat build of OpenJDK 11.0.23 では、cacerts
トラストストアに 2 つの特定のルート証明書が含まれています。
- 証明書 1
- 名前:特定の名前
- エイリアス名:certainlyrootr1
- 識別名:CN=Certainly Root R1, O=Certainly, C=US
- 証明書 2
- 名前:特定の名前
- エイリアス名:certainlyroote1
- 識別名:CN=Certainly Root E1, O=Certainly, C=US
JDK-8317373 (JDK Bug System) を参照してください。
第4章 このリリースに関連するアドバイザリー
このリリースに含まれるバグ修正と CVE 修正を文書化するために、次のアドバイザリーが発行されます。
改訂日時: 2024-04-20