Red Hat build of OpenJDK 8.0.432 のリリースノート

Red Hat は、Red Hat build of OpenJDK の一部のメジャーバージョンを製品でサポートします。一貫性を保つために、これらのバージョンは、Oracle が Oracle JDK 向けに長期サポート (LTS) を指定しているバージョンと同じになります。

Red Hat build of OpenJDK のメジャーバージョンは、最初に導入された時点から少なくとも 6 年間サポートされます。詳細は、OpenJDK のライフサイクルおよびサポートポリシー を参照してください。

Red Hat Enterprise Linux (RHEL) の Red Hat build of OpenJDK には、OpenJDK のアップストリームディストリビューションの構造上の変更が数多く含まれています。Red Hat build of OpenJDK の Microsoft Windows バージョンは、RHEL の更新にできる限り従います。

次のリストは、Red Hat build of OpenJDK 8 の最も注目すべき変更点を詳しく示しています。

最新の Red Hat build of OpenJDK 8 リリースには、新機能が含まれる可能性があります。さらに、最新リリースは、以前の Red Hat build of OpenJDK 8 リリースに由来する機能を強化、非推奨、または削除する可能性があります。

Red Hat build of OpenJDK の新しい機能と機能拡張

Red Hat build of OpenJDK 8.0.432 が提供する新しい機能と機能拡張について理解するには、以下のリリースノートを参照してください。

TLS_ECDH_* 暗号スイートはデフォルトで無効化されている

TLS Elliptic-curve Diffie-Hellman (TLS_ECDH) 暗号スイートは前方秘匿性を保持しないため、ほとんど使用されません。Red Hat build of OpenJDK 8.0.432 では、java.security 設定ファイルの jdk.tls.disabledAlgorithms セキュリティープロパティーに ECDH オプションを追加することで、TLS_ECDH 暗号スイートが無効になります。TLS_ECDH 暗号スイートを使用しようとすると、Red Hat build of OpenJDK で SSLHandshakeException エラーがスローされるようになりました。

TLS_ECDH 暗号スイートを引き続き使用する場合、java.security 設定ファイルを変更するか、java.security.properties システムプロパティーを使用して、jdk.tls.disabledAlgorithms セキュリティープロパティーから ECDH を削除できます。

JDK-8279164 (JDK Bug System) を参照してください。

2024 年 11 月 11 日より後に発行され、Entrust ルート CA によってアンカーされた TLS サーバー証明書を信頼できなくなる

Google と Mozilla が最近発表した同様の計画に従い、Red Hat build of OpenJDK 8.0.432 では、2024 年 11 月 11 日より後に発行され、Entrust ルート認証局 (CA) によってアンカーされた TLS 証明書が信頼されなくなります。この動作の変更には、Entrust によって管理されている AffirmTrust というブランドのすべての証明書が含まれます。

Red Hat build of OpenJDK は、2024 年 11 月 11 日以前に発行された証明書を、その証明書の有効期限が切れるまで引き続き信頼します。

サーバーの証明書チェーンが影響を受ける証明書によってアンカーされている場合、TLS セッションをネゴシエートしようとすると、トラストアンカーが信頼されていないことを示す例外が発生して失敗するようになりました。以下に例を示します。

TLS server certificate issued after 2024-11-11 and anchored by a distrusted legacy Entrust root CA: CN=Entrust.net CertificationAuthority (2048), OU=(c) 1999 Entrust.net Limited,OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.),O=Entrust.net

次の keytool コマンドを使用して、この変更が JDK キーストア内の証明書に影響するかどうかを確認できます。

keytool -v -list -alias <your_server_alias> -keystore <your_keystore_filename>

この変更がチェーン内のいずれかの証明書に影響する場合は、この証明書を更新するか、証明書の管理を担当する組織に問い合わせてください。

Entrust ルート証明書でアンカーされた TLS サーバー証明書を引き続き使用する場合は、jdk.security.caDistrustPolicies セキュリティープロパティーから ENTRUST_TLS を削除するには、java.security 設定ファイルを変更するか、java.security.properties システムプロパティーを使用します。

これらの制限は、Red Hat build of OpenJDK に含まれる次の Entrust ルート証明書に適用されます。

JDK-8337664 (JDK Bug System) および JDK-8341059 (JDK Bug System) を参照してください。

SSL.com ルート証明書が追加される

Red Hat build of OpenJDK 8.0.432 では、cacerts トラストストアに 2 つの SSL.com TLS ルート証明書が含まれています。

JDK-8341057 (JDK Bug System) を参照してください。

Java Abstract Window Toolkit (AWT) Robot 仕様の緩和

Red Hat build of OpenJDK 8.0.432 は、Java 8 仕様の最新のメンテナンスリリースに基づいています。このリリースでは、java.awt.Robot クラスの次の 3 つのメソッドの仕様が緩和されています。

この仕様の緩和により、デスクトップ環境がマウスポインターの移動や画面コンテンツのキャプチャーを許可しない場合に、これらのメソッドが失敗することが認められるようになります。

JDK-8307779 (JDK Bug System) を参照してください。

com.sun.jndi.ldap.object.trustSerialData システムプロパティーへの変更

LDAP プロバイダーの JDK 実装では、Java オブジェクトのデシリアライズがデフォルトでサポートされなくなりました。

Red Hat build of OpenJDK 8.0.432 では、com.sun.jndi.ldap.object.trustSerialData システムプロパティーはデフォルトで false に設定されています。このリリースでは、com.sun.jndi.ldap.object.trustSerialData p プロパティーの範囲も拡大され、javaRemoteLocation LDAP 属性からの RMI リモートオブジェクトの再構築もカバーされるようになりました。

これらの変更により、Java オブジェクトの透過的なデシリアライズには明示的なオプトインが必要になります。Red Hat build of OpenJDK 8.0.432 以降では、アプリケーションが LDAP 属性から Java オブジェクトと RMI スタブを再構築できるようにするには、com.sun.jndi.ldap.object.trustSerialData プロパティーを明示的に true に設定する必要があります。

JDK-8290367 (JDK Bug System) および JDK-8332643 (JDK Bug System) を参照してください。

HTTP クライアントの機能が強化される

Red Hat build of OpenJDK 8.0.432 では、サポートされているすべてのバージョンの HTTP プロトコルに対して、JDK 内で HTTP クライアントが受け入れる最大ヘッダーフィールドサイズが制限されます。ヘッダーフィールドのサイズは、圧縮されていないヘッダー名のサイズ、圧縮されていないヘッダー値のサイズ、および各フィールドセクションラインの 32 バイトのオーバーヘッドの合計として計算されます。ピアがこの制限を超えるフィールドセクションを送信すると、java.net.ProtocolException が発生します。

Red Hat build of OpenJDK 8.0.432 では、最大ヘッダーフィールドサイズ (バイト単位) を変更するために使用できる jdk.http.maxHeaderSize システムプロパティーが導入されています。または、jdk.http.maxHeaderSize プロパティーをゼロまたは負の値に設定して、最大ヘッダーフィールドサイズを無効にすることもできます。jdk.http.maxHeaderSize プロパティーは、デフォルトで 393,216 バイト (つまり 384 KB) に設定されています。

JDK-8328286 (JDK Bug System) を参照してください。

ZipOutputStream.close() メソッドの無限ループを修正

以前のリリースでは、クローズ中に例外がスローされた場合、DeflaterOutputStream.close()、GZIPOutputStream.finish()、および ZipOutputStream.closeEntry() メソッドは、関連付けられているデフォルトの JDK コンプレッサーを閉じませんでした。

Red Hat build of OpenJDK 8.0.432 では、Throwable オブジェクトをコールスタックに伝播する前にデフォルトのコンプレッサーが閉じられるようにすることで、この問題を解決します。ZipOutputStream の場合、例外が ZipException でない場合にのみ、デフォルトのコンプレッサーが閉じられます。

JDK-8193682 (JDK Bug System) を参照してください。

Windows ビルドアーティファクトの命名規則の変更

このリリースにより、Windows Server プラットフォーム用の Red Hat build of OpenJDK 8 の一部として配布される一部のファイルの命名が変更されました。

これらのファイルの命名変更は、Red Hat build of OpenJDK 8 の JDK、JRE、および debuginfo パッケージ用に Red Hat が提供する .zip アーカイブと .msi インストーラーの両方に影響します。

この変更の目的は、Red Hat が現在サポートしている OpenJDK のさまざまなバージョン間で一貫した共通の命名規則を採用することです。これは、Red Hat build of OpenJDK 8 が、Red Hat が Red Hat build of OpenJDK 21 にすでに採用している命名規則に準拠していることを意味します。

これらの変更は、Linux ポータブルビルドのファイルには影響しません。

次のリストは、これらの命名変更が Red Hat build of OpenJDK 8 のファイルにどのように影響するかの例を示しています。