Red Hat build of OpenJDK 17.0.12 のリリースノート

Red Hat は、Red Hat build of OpenJDK の一部のメジャーバージョンを製品でサポートします。一貫性を保つために、これらのバージョンは長期サポート (LTS) として指定されている Oracle JDK バージョンと同様のままとなります。

Red Hat build of OpenJDK のメジャーバージョンは、最初に導入された時点から少なくとも 6 年間サポートされます。詳細は、OpenJDK のライフサイクルおよびサポートポリシー を参照してください。

Red Hat Enterprise Linux の OpenJDK には、Red Hat build of OpenJDK のアップストリームディストリビューションの構造上の変更が数多く含まれています。Microsoft Windows バージョンの Red Hat build of OpenJDK は、Red Hat Enterprise Linux の更新にできる限り従います。

以下は、Red Hat build of OpenJDK 17 における最も注目すべき変更のリストです。

最新の Red Hat build of OpenJDK 17 には、新機能が含まれている可能性があります。さらに、最新リリースは、以前の Red Hat build of OpenJDK 21 リリースに由来する機能を強化、非推奨、または削除する可能性があります。

Red Hat build of OpenJDK の機能強化

Red Hat build of OpenJDK 21 では、以前のリリースの Red Hat build of OpenJDK で作成された機能に拡張が行われました。

Debian Linux に必要なパッケージのリストを生成する jpackage ツールが修正

以前のリリースでは、Debian Linux プラットフォームでは、jpackage ツールが、パス内のシンボリックリンクを使用して、共有ライブラリーから必要なパッケージの不正確なリストを生成することができました。

Red Hat build of OpenJDK 17.0.13 ではこの問題が解決され、共有ライブラリーの欠落によるインストールの失敗を排除できます。

JDK-8295111 (JDK Bug System) を参照してください。

TLS_ECDH_* 暗号スイートはデフォルトで無効になっています。

TLS Elliptic-curve Diffie-Hellman (TLS_ECDH)暗号化スイートは、転送機密性を保持しないため、ほとんど使用されません。Red Hat build of OpenJDK 17.0.13 は、java.security 設定ファイルの jdk.tls.disabledAlgorithms セキュリティープロパティーに ECDH オプションを追加して、TLS_ECDH 暗号スイートを無効にします。TLS_ECDH 暗号化スイートの使用を試みると、Red Hat build of OpenJDK で SSLHandshakeException エラーが発生するようになりました。

TLS_ECDH 暗号スイートを引き続き使用する場合は、java.security 設定ファイルを変更するか、java.security.properties システムプロパティーを使用して、jdk.tls.disabledAlgorithms セキュリティープロパティーから ECDH を削除できます。

JDK-8185862 (JDK Bug System) を参照してください。

2024 年 11 月 11 日に発行され、Entrust ルート CA にアンカーした後に発行された TLS サーバー証明書の要求

Google および Mozilla が最近発表されたことと同様の計画に従い、Red Hat build of OpenJDK 17.0.13 は、2024 年 11 月 11 日後に発行された TLS 証明書を信頼し、Entrust ルート認証局(CA)にアンカーします。この動作の変更には、Entrust によって管理される AffirmTrust としてブランド化された証明書が含まれます。

Red Hat build of OpenJDK は、これらの証明書が期限切れになるまで、2024 年 11 月 11 日より前に発行された証明書を信頼します。

サーバーの証明書チェーンが影響を受ける証明書でアンカーされている場合、TLS セッションのネゴシエートの試行は例外で失敗し、トラストアンカーが信頼できないことを示します。以下に例を示します。

TLS server certificate issued after 2024-11-11 and anchored by a distrusted legacy Entrust root CA: CN=Entrust.net CertificationAuthority (2048), OU=(c) 1999 Entrust.net Limited,OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.),O=Entrust.net

TLS server certificate issued after 2024-11-11 and anchored by a distrusted legacy Entrust root CA: CN=Entrust.net CertificationAuthority (2048), OU=(c) 1999 Entrust.net Limited,OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.),O=Entrust.net

次の keytool コマンドを使用して、この変更が JDK キーストア内の証明書に影響するかどうかを確認できます。

keytool -v -list -alias <your_server_alias> -keystore <your_keystore_filename>

この変更がチェーン内の証明書に影響する場合は、この証明書を更新するか、証明書を管理する組織にお問い合わせください。

Entrust ルート証明書でアンカーされた TLS サーバー証明書を引き続き使用する場合は、jdk.security.caDistrustPolicies セキュリティープロパティーから ENTRUST_TLS を削除するには、java.security 設定ファイルを変更するか、java.security.properties システムプロパティーを使用します。

これらの制限は、Red Hat build of OpenJDK に含まれる次の Entrust ルート証明書に適用されます。

JDK-8337664 (JDK Bug System) および JDK-8341059 (JDK Bug System) を参照してください。

XshowSettings ランチャーオプションの 詳細なロケール出力を削減

以前のリリースでは、-XshowSettings launcher オプションは、利用可能なロケールの長いリストを出力し、他の設定を隠していました。

Red Hat build of OpenJDK 17.0.13 では、-XshowSettings launcher オプションはデフォルトで利用可能なロケールのリストを出力しなくなりました。利用可能なロケールに関連する設定をすべて表示する場合は、the -XshowSettings:locale オプションを使用できます。

JDK-8185862 (JDK Bug System) を参照してください。

ssl.com ルート証明書が追加される

Red Hat build of OpenJDK 17.0.13 では、cacerts トラストストアに 2 つの SSL.com TLS ルート証明書が含まれています。

JDK-8185862 (JDK Bug System) を参照してください。

java.security.debug システムプロパティーの追加の タイムスタンプ および スレッド オプション

Red Hat build of OpenJDK 17.0.13 は、指定されたコンポーネントに適用できる java.security.debug プロパティーに次のオプションを追加します。

たとえば、-Djava.security.debug=all+timestamp+thread を使用すると、タイムスタンプとスレッド情報の両方を持つすべてのコンポーネントのデバッグ情報が有効になります。または、-Djava.security.debug=properties+timestamp は、セキュリティープロパティーのデバッグ情報のみを有効にし、タイムスタンプが含まれます。Djava.security.debug=help を使用して、サポートされているコンポーネントおよびオプションの完全なリストを表示できます。

JDK-8185862 (JDK Bug System) を参照してください。

Java Abstract Window Toolkit (AWT)ロボット仕様の緩和

Red Hat build of OpenJDK 17.0.13 は、Java 17 仕様の最新のメンテナンスリリースに基づいています。このリリースでは、java.awt.Robot クラスの次の 3 つのメソッドの仕様が緩和されます。

この仕様の緩和により、デスクトップ環境でマウスポインターの移動や画面コンテンツのキャプチャーが許可されない場合に、これらのメソッドが失敗することが可能になります。

JDK-8185862 (JDK Bug System) を参照してください。

com.sun.jndi.ldap.object.trustSerialData システムプロパティーへの変更

LDAP プロバイダーの JDK 実装は、デフォルトで Java オブジェクトのデシリアライズをサポートしなくなりました。

Red Hat build of OpenJDK 17.0.13 では、デフォルトで com.sun.jndi.ldap.object.trustSerialData システムプロパティーが false に設定されています。このリリースでは、com.sun.jndi.ldap.object.trustSerialData プロパティーの範囲も増加し、javaRemoteLocation LDAP 属性からの RMI リモートオブジェクトの再構築も対応しています。

これらの変更により、Java オブジェクトの透過的なデシリアライズに明示的なオプトインが必要になりました。Red Hat build of OpenJDK 17.0.13 以降では、アプリケーションが LDAP 属性から Java オブジェクトと RMI スタブを再構築できるようにする場合は、com.sun.jndi.ldap.object.trustSerialData プロパティーを true に設定する必要があります。

JDK-8290367 (JDK Bug System) および JDK-8332643 (JDK Bug System)を参照してください。

HTTP クライアントの機能強化

Red Hat build of OpenJDK 17.0.13 は、サポートされているすべてのバージョンの HTTP プロトコルに対して、HTTP クライアントが JDK 内で受け入れる最大ヘッダーフィールドサイズを制限します。ヘッダーフィールドサイズは、圧縮されていないヘッダー名のサイズ、圧縮されていないヘッダー値のサイズ、および各フィールドセクション行に 32 バイトのオーバーヘッドとして計算されます。ピアがこの制限を超えるフィールドセクションを送信すると、java.net.ProtocolException が発生します。

Red Hat build of OpenJDK 17.0.13 では、ヘッダーフィールドの最大サイズをバイト単位で変更するために使用できる jdk.http.maxHeaderSize システムプロパティーが導入されています。または、jdk.http.maxHeaderSize プロパティーをゼロに設定するか、負の値を設定することで、最大ヘッダーフィールドサイズを無効にすることができます。jdk.http.maxHeaderSize プロパティーはデフォルトで 393,216 バイト（つまり 384KB）に設定されます。

JDK-8185862 (JDK Bug System) を参照してください。

ClassLoadingMXBean および MemoryMXBean API の set Verbose （）メソッドと合致する is Verbose （） メソッドがあります

ClassLoadingMXBean API の setVerbose (boolean enabled) メソッドには次の動作が表示されます。

以前のリリースでは、ClassLoadingMXBean API の isVerbose （） メソッドは、stdout だけでなく、任意のタイプのログ出力で クラス+ロード ロギングが Info レベルで有効になっているかどうかをチェックします。この状況では、java -Xlog オプションを使用してファイルへのログインを有効にすると、set Verbose (false) が呼び出されても isVerbose （） メソッドは true を返し、これにより直観的な動作が発生します。MemoryMXBean API の isVerbose （） メソッドには、同様のカウンター的動作も表示されます。

Red Hat build of OpenJDK 17.0.13 以降では、ClassLoadingMXBean.isVerbose （）メソッド と MemoryMXBean.isVerbose （） メソッドに以下の動作が表示されます。

JDK-8185862 (JDK Bug System) を参照してください。

鍵カプセル化メカニズム API

Red Hat build of OpenJDK 17.0.13 では、主要なカプセル化メカニズム(KEM)用の javax.crypto API が導入されています。KEM は、公開鍵暗号を使用して対称鍵を保護するための暗号化手法です。KEM API は公開鍵暗号化の使用を容易にし、秘密やメッセージを処理する際のセキュリティーの向上に役立ちます。

JDK-8185862 (JDK Bug System) を参照してください。

Windows ビルドアーティファクトの命名規則の変更

このリリースでは、Windows Server プラットフォーム用の Red Hat build of OpenJDK 17 の一部として配布される一部のファイルの命名変更が導入されています。

これらのファイルの命名変更は、Red Hat が Red Hat build of OpenJDK 17 の JDK パッケージ、JRE パッケージ、および debuginfo パッケージ向けに Red Hat が提供する .zip アーカイブと .msi インストーラーの両方に影響します。

この変更の目的は、Red Hat が現在サポートしている OpenJDK のさまざまなバージョン間で一貫性のある一般的な命名規則を採用することです。つまり、Red Hat build of OpenJDK 17 は、Red Hat build of OpenJDK 21 にすでに採用されている命名規則に合わせています。

これらの変更は、Linux ポータブルビルドのファイルには影響しません。

以下のリストは、これらの命名変更が Red Hat build of OpenJDK 17 のファイルにどのように影響するかの例を示しています。

このリリースに含まれるバグ修正と CVE 修正を文書化するために、次のアドバイザリーが発行されます。

改訂日時: 2024-10-19