Eclipse Temurin 21.0.5 のリリースノート

Red Hat は、一部の Eclipse Temurin のメジャーバージョンをサポートします。一貫性を保つために、これらのバージョンは、Oracle が長期サポート (LTS) として指定している Oracle JDK バージョンと同様のままとなります。

Eclipse Temurin のメジャーバージョンは、最初に導入された時点から少なくとも 6 年間サポートされます。詳細は、Eclipse Temurin のライフサイクルおよびサポートポリシー を参照してください。

Eclipse Temurin には、OpenJDK のアップストリームディストリビューションの構造の変更は含まれません。

新機能および機能拡張

Eclipse Temurin 21.0.5 には、次の新機能と機能強化が含まれています。

2024 年 11 月 11 日以降に発行され、Entrust ルート CA によってアンカーされた TLS サーバー証明書を信頼できなくなる

Google と Mozilla が最近発表した同様の計画に従い、OpenJDK 21.0.5 は、2024 年 11 月 11 日以降に発行され、Entrust ルート認証局 (CA) によってアンカーされた TLS 証明書を信頼しません。この動作の変更には、Entrust によって管理されている AffirmTrust というブランドのすべての証明書が含まれます。

OpenJDK は、2024 年 11 月 11 日以前に発行された証明書を、その証明書の有効期限が切れるまで引き続き信頼します。

サーバーの証明書チェーンが影響を受ける証明書によってアンカーされている場合、TLS セッションをネゴシエートしようとすると、トラストアンカーが信頼されていないことを示す例外が発生して失敗するようになりました。以下に例を示します。

TLS server certificate issued after 2024-11-11 and anchored by a distrusted legacy Entrust root CA: CN=Entrust.net CertificationAuthority (2048), OU=(c) 1999 Entrust.net Limited,OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.),O=Entrust.net

次の keytool コマンドを使用して、この変更が JDK キーストア内の証明書に影響するかどうかを確認できます。

keytool -v -list -alias <your_server_alias> -keystore <your_keystore_filename>

この変更がチェーン内のいずれかの証明書に影響する場合は、この証明書を更新するか、証明書の管理を担当する組織に問い合わせてください。

Entrust ルート証明書でアンカーされた TLS サーバー証明書を引き続き使用する場合は、jdk.security.caDistrustPolicies セキュリティープロパティーから ENTRUST_TLS を削除するには、java.security 設定ファイルを変更するか、java.security.properties システムプロパティーを使用します。

これらの制限は、OpenJDK に含まれる次の Entrust ルート証明書に適用されます。

JDK-8337664 (JDK Bug System) および JDK-8341059 (JDK Bug System) を参照してください。

KEM.getInstance() メソッドは、サードパーティーのセキュリティープロバイダーが署名されているかどうかを確認します。

JDK の暗号化フレームワークは、プロバイダーのコードベースを判別し、プロバイダーの署名を検証することで、サードパーティーのセキュリティープロバイダーの実装を認証します。

以前のリリースでは、JDK はキーカプセル化メカニズム (KEM) の実装を認証しませんでした。

OpenJDK 21.0.5 は、Cipher プロバイダーや Mac プロバイダーなどの他の JDK サービスタイプと一致する方法で KEM 実装を認証します。

JDK-8322971 (JDK Bug System) を参照してください。

-XshowSettings ランチャーオプションの詳細なロケール出力が削減された

以前のリリースでは、-XshowSettings ランチャーオプションは、使用可能なロケールの長いリストを出力し、他の設定が見えにくくなっていました。

OpenJDK 21.0.5 では、-XshowSettings ランチャーオプションは、デフォルトで使用可能なロケールのリストを出力しなくなりました。使用可能なロケールに関連するすべての設定を表示する場合は、-XshowSettings:locale オプションを使用できます。

JDK-8310201 (JDK Bug System) を参照してください。

java.security.debug システムプロパティーの timestamp と thread オプションが追加される

OpenJDK 21.0.5 では、java.security.debug プロパティーに次のオプションが追加され、指定された任意のコンポーネントに適用できるようになりました。

たとえば、-Djava.security.debug=all+timestamp+thread は、タイムスタンプとスレッド情報の両方を含むすべてのコンポーネントのデバッグ情報を有効にします。または、-Djava.security.debug=properties+timestamp は、セキュリティープロパティーのデバッグ情報のみを有効にし、タイムスタンプを含めます。-Djava.security.debug=help を使用すると、サポートされているコンポーネントとオプションの完全なリストを表示できます。

JDK-8051959 (JDK Bug System) を参照してください。

SSL.com ルート証明書が追加される

OpenJDK 21.0.5 では、cacerts トラストストアに 2 つの SSL.com TLS ルート証明書が含まれています。

JDK-8341057 (JDK Bug System) を参照してください。

HTTP クライアントの機能が強化される

OpenJDK 21.0.5 では、サポートされているすべてのバージョンの HTTP プロトコルに対して、JDK 内で HTTP クライアントが受け入れる最大ヘッダーフィールドサイズが制限されます。ヘッダーフィールドのサイズは、圧縮されていないヘッダー名のサイズ、圧縮されていないヘッダー値のサイズ、および各フィールドセクションラインの 32 バイトのオーバーヘッドの合計として計算されます。ピアがこの制限を超えるフィールドセクションを送信すると、java.net.ProtocolException が発生します。

OpenJDK 21.0.5 では、最大ヘッダーフィールドサイズ (バイト単位) を変更するのに使用できる jdk.http.maxHeaderSize システムプロパティーが導入されました。または、jdk.http.maxHeaderSize プロパティーをゼロまたは負の値に設定して、最大ヘッダーフィールドサイズを無効にすることもできます。jdk.http.maxHeaderSize プロパティーは、デフォルトで 393,216 バイト (つまり 384 KB) に設定されています。

JDK バグシステム参照 ID: JDK-8328286

ClassLoadingMXBean および MemoryMXBean API には、setVerbose() メソッドと一致する isVerbose() メソッドがあります。

ClassLoadingMXBean API の setVerbose (boolean enabled) メソッドは、次の動作を示します。

以前のリリースでは、ClassLoadingMXBean API の isVerbose() メソッドは、stdout だけでなく、あらゆるタイプのログ出力の Info レベルで class+load ロギングが有効になっているかどうかをチェックしていました。この状況では、java -Xlog オプションを使用してファイルへのログ記録を有効にすると、setVerbose (false) が呼び出されても isVerbose() メソッドは true を返し、予期せぬ動作が発生しました。MemoryMXBean API の isVerbose() メソッドでも同様に予期せぬ動作が発生しました。

OpenJDK 21.0.5 以降では、ClassLoadingMXBean.isVerbose() メソッドと MemoryMXBean.isVerbose() メソッドは次の動作を示します。

JDK-8338139 (JDK Bug System) を参照してください。

改訂日時: 2024-10-31