Red Hat SummitRed Hat build of OpenJDK 8.0.362 のリリースノート
概要
はじめに
OpenJDK (Open Java Development Kit) は、Java Platform Standard Edition (Java SE) のオープンソース実装です。Red Hat build of OpenJDK には、8u、11u、17u の 3 つのバージョンがあります。
Red Hat ビルドの OpenJDK 向けパッケージは、Red Hat Enterprise Linux および Microsoft Windows プラットフォームで利用でき、Red Hat Ecosystem Catalog の JDK および JRE として同梱されています。
Red Hat build of OpenJDK ドキュメントへのフィードバック
エラーを報告したり、ドキュメントを改善したりするには、Red Hat Jira アカウントにログインし、課題を送信してください。Red Hat Jira アカウントをお持ちでない場合は、アカウントを作成するように求められます。
手順
- 次のリンクをクリックして チケットを作成します。
- Summary に課題の簡単な説明を入力します。
- Description に課題や機能拡張の詳細な説明を入力します。問題があるドキュメントのセクションへの URL を含めてください。
- Submit をクリックすると、課題が作成され、適切なドキュメントチームに転送されます。
多様性を受け入れるオープンソースの強化
Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。まずは、マスター (master)、スレーブ (slave)、ブラックリスト (blacklist)、ホワイトリスト (whitelist) の 4 つの用語の置き換えから始めます。この取り組みは膨大な作業を要するため、今後の複数のリリースで段階的に用語の置き換えを実施して参ります。詳細は、Red Hat CTO である Chris Wright のメッセージ を参照してください。
第1章 サポートポリシー
Red Hat は、Red Hat build of OpenJDK の一部のメジャーバージョンを製品でサポートします。一貫性を保つために、これらのバージョンは、Oracle が Oracle JDK 向けに長期サポート (LTS) を指定しているバージョンと同じになります。
Red Hat build of OpenJDK のメジャーバージョンは、最初に導入された時点から少なくとも 6 年間サポートされます。詳細は、OpenJDK のライフサイクルおよびサポートポリシー を参照してください。
RHEL 6 のライフサイクルは 2020 年 11 月に終了します。このため、Red Hat build of OpenJDK は、サポート対象の設定として RHEL 6 をサポートしていません。
第2章 アップストリームの OpenJDK 8 との相違点
Red Hat Enterprise Linux (RHEL) の Red Hat build of OpenJDK には、OpenJDK のアップストリームディストリビューションの構造上の変更が数多く含まれています。Red Hat build of OpenJDK の Microsoft Windows バージョンは、RHEL の更新にできる限り従います。
次のリストは、Red Hat build of OpenJDK 8 の最も注目すべき変更点を詳しく示しています。
- FIPS のサポート。Red Hat build of OpenJDK 8 は、RHEL が FIPS モードであるかどうかを自動的に検出し、Red Hat build of OpenJDK 8 がそのモードで動作するように自動的に設定します。この変更は、Microsoft Windows 向けの Red Hat build of OpenJDK ビルドには適用されません。
- 暗号化ポリシーのサポート。Red Hat build of OpenJDK 8 は、RHEL システム設定から有効な暗号化アルゴリズムとキーサイズの制約のリストを取得します。これらの設定コンポーネントは、トランスポート層セキュリティー (TLS) 暗号化プロトコル、証明書パス検証、および署名された JAR によって使用されます。さまざまなセキュリティープロファイルを設定して、安全性と互換性のバランスをとることができます。この変更は、Microsoft Windows 向けの Red Hat build of OpenJDK ビルドには適用されません。
-
RHEL の Red Hat build of OpenJDK は、アーカイブ形式のサポート用の
zlib、イメージのサポート用のlibjpeg-turbo、libpng、giflibなどのネイティブライブラリーと動的にリンクします。また、RHEL はフォントのレンダリングと管理のために、HarfbuzzおよびFreetypeに対して動的にリンクします。この変更は、Microsoft Windows 向けの Red Hat build of OpenJDK ビルドには適用されません。 -
src.zipファイルには、Red Hat build of OpenJDK に同梱されるすべての JAR ライブラリーのソースが含まれています。 - RHEL の Red Hat build of OpenJDK は、タイムゾーン情報のソースとして、システム全体のタイムゾーンデータファイルを使用します。
- RHEL の Red Hat build of OpenJDK は、システム全体の CA 証明書を使用します。
- Microsoft Windows の Red Hat build of OpenJDK には、RHEL で利用可能な最新のタイムゾーンデータが含まれています。
- Microsoft Windows の Red Hat build of OpenJDK は、RHEL から入手可能な最新の CA 証明書を使用します。
第3章 Red Hat build of OpenJDK 8.0.362 リリースノート
最新の Red Hat build of OpenJDK 8 リリースには、新機能が含まれる可能性があります。さらに、最新リリースは、以前の Red Hat build of OpenJDK 8 リリースに由来する機能を強化、非推奨、または削除する可能性があります。
その他の変更点やセキュリティー修正については、OpenJDK 8u362 Released を参照してください。
Red Hat build of OpenJDK の新しい機能と機能拡張
次のリリースノートで、Red Hat build of OpenJDK 8.0.362 リリースが提供する新しい機能と機能拡張を確認してください。
CORBA 通信の改善
デフォルトでは、Red Hat build of OpenJDK 8.0.362 の CORBA 実装は、IOR: 接頭辞を含まないオブジェクトのデシリアライズを拒否します。
以前の動作に戻したい場合は、新しい com.sun.CORBA.ORBAllowDeserializeObject プロパティーを true に設定できます。
JDK-8285021 (JDK Bug System) を参照してください。
強化された BMP 境界
デフォルトでは、Red Hat build of OpenJDK 8.0.362 はリンクされた International Color Consortium (ICC) プロファイルを BMP イメージにロードすることを無効にします。この機能を有効にするには、新しい sun.imageio.bmp.enabledLinkedProfiles プロパティーを true に設定します。このプロパティーは、古い sun.imageio.plugins.bmp.disableLinkedProfiles プロパティーを置き換えます。
JDK-8295687 (JDK Bug System) を参照してください。
サウンドのバンキングの改善
以前は、SoundbankReader 実装 com.sun.media.sound.JARSoundbankReader が URL から JAR サウンドバンクをダウンロードしていました。Red Hat build of OpenJDK 8.0.362 では、この動作はデフォルトで無効になりました。この動作を再度有効にするには、新しいシステムプロパティー jdk.sound.jarsoundbank を true に設定します。
JDK-8293742 (JDK Bug System) を参照してください。
Red Hat build of OpenJDK による Microsoft Windows 11 のサポート
Red Hat build of OpenJDK 8.0.362 は Microsoft Windows 11 オペレーティングシステムを認識できるようになり、os.name プロパティーを Windows 11 に設定できるようになりました。
JDK-8274840 (JDK Bug System) を参照してください。
SHA-1 署名 JAR
Red Hat build of OpenJDK 8.0.362 リリースでは、SHA-1 アルゴリズムで署名された JAR はデフォルトで制限され、署名されていないものとして扱われます。これらの制限は、次のアルゴリズムに適用されます。
- ダイジェスト、署名、およびオプションで JAR のタイムスタンプに使用されるアルゴリズム。
- コード署名者とタイムスタンプ機関の証明書チェーン内の証明書の署名アルゴリズムとダイジェストアルゴリズム、およびそれらの証明書が失効しているかどうかを確認するために使用される証明書失効リスト (CRL) またはオンライン証明書ステータスプロトコル (OCSP) 応答。
さらに、制限は署名済みの Java Cryptography Extension (JCE) プロバイダーにも適用されます。
以前にタイムスタンプが付けられた JAR の互換性リスクを軽減するために、この制限は、SHA-1 アルゴリズムで署名され、January 01, 2019 より前にタイムスタンプが付けられた JAR には適用されません。この例外は、将来の Red Hat build of OpenJDK リリースで削除される可能性があります。
JAR ファイルが制限の影響を受けるかどうかを判断するには、CLI で次のコマンドを発行します。
$ jarsigner -verify -verbose -certs
前のコマンドの出力から、SHA1、SHA-1、または disabled のインスタンスを検索します。さらに、JAR が署名なしとして扱われることを示す警告メッセージを検索します。以下に例を示します。
Signed by "CN="Signer""
Digest algorithm: SHA-1 (disabled)
Signature algorithm: SHA1withRSA (disabled), 2048-bit key
WARNING: The jar will be treated as unsigned, because it is signed with a weak algorithm that is now disabled by the security property:
jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024, DSA keySize < 1024, SHA1 denyAfter 2019-01-01新しい制限の影響を受けるすべての JAR をより強力なアルゴリズムに置き換えるか、再署名することを検討してください。
JAR ファイルがこの制限の影響を受ける場合は、アルゴリズムを削除して、SHA-256 などのより強力なアルゴリズムでファイルに再署名できます。Red Hat build of OpenJDK 8.0.362 の SHA-1 署名付き JAR に対する制限を削除する必要があり、セキュリティーリスクを受け入れる場合は、以下のアクションを実行できます。
-
java.security設定ファイルを変更します。または、このファイルを保存して、必要な設定で別のファイルを作成することもできます。 -
SHA1 usage SignedJAR & denyAfter 2019 01 011エントリーをjdk.certpath.disabledAlgorithmsセキュリティープロパティーから削除します。 -
jdk.jar.disabledAlgorithmsセキュリティープロパティーからSHA1 denyAfter 2019-01-01エントリーを削除します。
java.security ファイルの jdk.certpath.disabledAlgorithms の値は、RHEL 8 および 9 のシステムセキュリティーポリシーによって上書きされる場合があります。システムセキュリティーポリシーで使用される値は、ファイル /etc/crypto-policies/back-ends/java.config で確認でき、java.security ファイルで security.useSystemPropertiesFile を false に設定するか、-Djava.security.disableSystemPropertiesFile=true を JVM 渡すことで無効にします。これらの値はこのリリースでは変更されていないため、値は Red Hat build of OpenJDK の以前のリリースと同じままです。
java.security ファイルの設定例については、JBoss EAP for OpenShift の java.security プロパティーのオーバーライド (Red Hat カスタマーポータル) を参照してください。
JDK-8269039 (JDK バグシステム) を参照してください。
第4章 このリリースに関連するアドバイザリー
以下のアドバイザリーは、本リリースに含まれるバグ修正および CVE の修正をまとめるために発行されています。
改訂日時: 2024-05-11
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}