Red Hat build of OpenJDK 17.0.13 发行注记

红帽在其产品中支持所选的 Red Hat build of OpenJDK 主版本。为了实现一致性，这些版本与指定为长期支持 (LTS) 的 Oracle JDK 版本类似。

自首次推出该版本时，红帽构建的 OpenJDK 的主版本将最少提供六年。如需更多信息，请参阅 OpenJDK 生命周期和支持政策

Red Hat build of OpenJDK 在 Red Hat Enterprise Linux 中包含了来自 OpenJDK 上游发行版的许多结构更改。红帽构建的 OpenJDK 版本尝试尽快遵循 Red Hat Enterprise Linux 更新。

以下列表详细介绍了红帽构建的 OpenJDK 17 更改：

最新的 Red Hat build of OpenJDK 17 发行版本可能包括新功能。另外，最新版本可能会增强、弃用或删除来自以前红帽构建的 OpenJDK 17 版本的功能。

Red Hat build of OpenJDK 的改进

Red Hat build of OpenJDK 17 为最初在以前的 Red Hat build OpenJDK 版本中创建的功能提供改进。

修复 jpackage 工具，在 Debian Linux 上生成软件包不准确列表

在早期版本中，在 Debian Linux 平台上，jpackage 工具可能会生成不准确的共享库中带有符号链接的所需软件包列表。

红帽构建的 OpenJDK 17.0.13 解决了这个问题，以消除缺少共享库的安装失败。

请参阅 JDK-8295111 (JDK Bug System)。

TLS_ECDH27:2.7 密码套件默认是禁用的

TLS Elliptic-curve Diffie-Hellman (TLS_ECDH)密码套件不会保留转发保密，且很少使用。红帽构建的 OpenJDK 17.0.13 通过在 java.security 配置文件中的 jdk.tls.disabledAlgorithms 安全属性中添加 ECDH 选项来禁用 TLS_ECDH 密码套件。如果您尝试使用 TLS_ECDH 密码套件，红帽构建的 OpenJDK 现在会抛出 SSLHandshakeException 错误。

如果要继续使用 TLS_ECDH 密码套件，您可以通过修改 java.security. properties 系统属性或从 jdk.tls. disabledAlgorithms 安全属性中删除 ECDH。

请参阅 JDK-8279164 (JDK Bug System)。

2024 年 11 月 11 日和由 Entrust root CA 发布的 TLS 服务器证书的不信任

根据 Google 和 Mozilla 最近宣布的类似计划，红帽构建的 OpenJDK 17.0.13 信任于 2024 年 11 月 11 日和由 Entrust root 证书颁发机构(CA)发布的 TLS 证书。这个行为的变化包括任何品牌为 AffirmTrust 的证书，这些证书由 Entrust 管理。

Red Hat build of OpenJDK 将继续信任在 2024 年 11 月 11 日或以前发布的证书，直到这些证书过期。

如果服务器的证书链由受影响的证书决定，则任何尝试协商 TLS 会话现在都会失败，但表明信任锚不被信任。例如：

TLS server certificate issued after 2024-11-11 and anchored by a distrusted legacy Entrust root CA: CN=Entrust.net CertificationAuthority (2048), OU=(c) 1999 Entrust.net Limited,OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.),O=Entrust.net

您可以使用以下 keytool 命令检查此更改是否影响 JDK 密钥存储中的证书：

keytool -v -list -alias <your_server_alias> -keystore <your_keystore_filename>

如果此更改会影响链中的任何证书，请更新此证书或联系负责管理证书的机构。

如果要继续使用 Entrust root 证书选择的 TLS 服务器证书，您可以通过修改 java.security. properties 系统属性或从 jdk.security.caDistrustPolicies 安全属性中删除 ENTRUST_TLS。

这些限制适用于 Red Hat build of OpenJDK 的以下 Entrust root 证书，其中包括：

请参阅 JDK-8337664 (JDK Bug System) 和 JDK-8341059 (JDK Bug System)。

减少详细区域设置输出 in -XshowSettings launcher 选项

在早期版本中，-XshowSettings launcher 选项打印了可用区域设置的长列表，这会模糊处理其他设置。

在 OpenJDK 17.0.13 中，-XshowSettings launcher 选项默认不再打印可用区域列表。如果要查看与可用区域设置相关的所有设置，您可以使用 -XshowSettings:locale 选项。

请参阅 JDK-8310201 (JDK Bug System)。

添加 ssl.com 根证书

在 OpenJDK 17.0.13 中，cacerts truststore 包括两个 SSL.com TLS 根证书：

请参阅 JDK-8341057 (JDK Bug System)。

java . security.debug 系统属性的额外时间戳和 线程 选项

Red Hat build of OpenJDK 17.0.13 将以下选项添加到 java.security.debug 属性中，该属性可应用于任何指定的组件：

例如，-Djava.security.debug=all+timestamp+thread 为带有时间戳和线程信息的所有组件启用调试信息。或者，-Djava.security.debug=properties+timestamp 仅为安全属性启用调试信息，并包括一个时间戳。您可以使用 -Djava.security.debug=help 显示支持的组件和选项的完整列表。

请参阅 JDK-8051959 (JDK Bug System)。

Java Abstract 窗口工具包(AWT) Robot 规格

Red Hat build of OpenJDK 17.0.13 基于 Java 17 规范的最新维护发行版本。此发行版本在 java.awt.Robot 类中调整以下三种方法规格：

这种规格放松允许这些方法在桌面环境不允许移动鼠标指针或捕获屏幕内容时失败。

请参阅 JDK-8307779 (JDK Bug System)。

对 com.sun.jndi.ldap.object.trustSerialData 系统属性的更改

LDAP 供应商的 JDK 实施默认不再支持 Java 对象的反序列化。

在 OpenJDK 17.0.13 中，com.sun.jndi.ldap.object.trustSerialData 系统属性默认设置为 false。此发行版本还增加 com.sun.jndi.ldap.object.trustSerialData 属性的范围，以覆盖 javaRemoteLocation LDAP 属性中的 RMI 远程对象的重新构建。

这些更改意味着，Java 对象透明序列化需要明确选择。从 OpenJDK 17.0.13 开始，如果要允许应用程序从 LDAP 属性重建 Java 对象和 RMI 存根，则必须明确将 com.sun.jndi.ldap.object.trustSerialData 属性设置为 true。

请参阅 JDK-8290367 (JDK Bug System) 和 JDK-8332643 (JDK Bug System)。

HTTP 客户端增强

Red Hat build of OpenJDK 17.0.13 限制 HTTP 客户端在 JDK 中针对所有支持的 HTTP 协议接受的最大标头字段大小。标头字段大小计算为未压缩标头名称的总和、未压缩标头值的大小，以及每个字段部分行的开销为 32 字节。如果对等点发送超过这个限制的字段部分，则会引发 java.net.ProtocolException。

Red Hat build of OpenJDK 17.0.13 引入了 jdk.http.maxHeaderSize 系统属性，可用于更改最大标头字段大小（以字节为单位）。或者，您可以通过将 jdk.http.maxHeaderSize 属性设置为 0 或负值来禁用最大标头字段大小。jdk.http.maxHeaderSize 属性默认设置为 393,216 字节（即 384KB）。

请参阅 JDK-8328286 (JDK Bug System)。

ClassLoadingMXBean 和 MemoryMXBean API 具有与 setVerbose （） 方法一致的 isVerbose （） 方法

ClassLoadingMXBean API 的 setVerbose （布尔值） 方法显示以下行为：

在早期版本中，class LoadingMXBean API 的 isVerbose （） 方法检查是否在任何类型的日志输出上启用了 class+load 日志记录，而不只是 stdout。在这种情况下，如果您使用 java -Xlog 选项启用对文件的日志，则 isVerbose （） 方法返回 true，即使调用 setVerbose (false)，这会导致计数器行为。MemoryMXBean API 的 isVerbose （） 方法也显示类似的计数器行为。

从 OpenJDK 17.0.13 开始，class LoadingMXBean.isVerbose （） 和 MemoryMXBean.isVerbose （） 方法显示以下行为：

请参阅 JDK-8338139 (JDK Bug System)。

密钥封装机制 API

Red Hat build of OpenJDK 17.0.13 引入了一个用于密钥封装机制(KEM)的 javax.crypto API。KEM 是使用公钥加密保护对称密钥的加密技术。javax.crypto API 便于使用公钥加密，有助于在处理机密和消息时提高安全性。

请参阅 JDK-8297878 (JDK Bug System)。

Windows 构建工件的命名规则的更改

此发行版本引入了一些作为 Red Hat build of OpenJDK 17 for Windows Server 平台一部分的文件命名更改。

这些文件命名更改会影响红帽为 OpenJDK 17 构建的 JDK、JRE 和 debuginfo 软件包提供的 .zip 归档和 .msi 安装程序。

这个变化的目的是采用一个通用命名惯例，它在红帽目前支持的不同版本的 OpenJDK 中保持一致。这意味着，红帽构建的 OpenJDK 17 与红帽已经为 OpenJDK 21 构建的命名惯例一致。

这些更改不会影响 Linux 可移植构建的文件。

以下列表提供了这些命名更改对 Red Hat build of OpenJDK 17 中的文件的影响示例：

以下公告包括了记录程序错误修复和 CVE 修复：

更新于 2024-10-19