Eclipse Temurin 21.0.7 发行注记

红帽在其产品中支持选定的 Eclipse Temurin 主版本。为了实现一致性，这些版本与 Oracle 指定长期支持(LTS)的 Oracle JDK 版本类似。

自首次引入该版本时，Eclipse Temurin 的主要版本将最少提供六年。如需更多信息，请参阅 Eclipse Temurin 生命周期和支持政策。

Eclipse Temurin 不包含来自 OpenJDK 上游发行版的结构性更改。

有关 Eclipse Temurin 最新 OpenJDK 21 发行版本的更改和安全修复程序，请参阅 OpenJDK 21.0.7 发行版本。

新功能及功能增强

Eclipse Temurin 21.0.7 包括以下新功能和增强：

jarsigner 工具中关于删除的文件条目的警告

在之前的 OpenJDK 版本中，当从签名的 JAR 文件中删除文件时，但文件签名仍然存在，jarsigner 工具不会检测到这种情况。

在 OpenJDK 21.0.7 中，您可以使用 jarsigner -verify 命令检查每个签名是否有匹配的文件条目。如果存在不匹配，这个命令会打印警告信息。要显示任何不匹配条目的名称，请在命令中添加 -verbose 选项。

请参阅 JDK-8309841 (JDK Bug System)。

在 2025 年 4 月 15 日后发布的 TLS 服务器证书的不信任，由 Camerfirma 根 CA 发布

根据 Google、Mozilla、Apple 和 Microsoft 最近宣布的类似计划，OpenJDK 21.0.7 不信任于 2025 年 4 月 15 日发布的 TLS 证书，并由 Camerfirma 根证书发起。

OpenJDK 将继续信任在 2025 年 4 月 15 日或之前发布的证书，直到这些证书过期。

如果服务器的证书链由受影响的证书决定，则任何尝试协商 TLS 会话现在都会失败，但表明信任锚不被信任。例如：

TLS server certificate issued after 2025-04-15 and anchored by a distrusted legacy Camerfirma root CA: CN=Chambers of Commerce Root -
2008, O=AC Camerfirma S.A., SERIALNUMBER=A82743287, L=Madrid (see current address at www.camerfirma.com/address), C=EU

您可以使用以下 keytool 命令检查此更改是否影响 JDK 密钥存储中的证书：

keytool -v -list -alias <your_server_alias> -keystore <your_keystore_filename>

如果此更改会影响链中的任何证书，请更新此证书或联系负责管理证书的机构。

如果要继续使用 Camerfirma root 证书实现的 TLS 服务器证书，您可以通过修改 java.security. properties 系统属性或从 jdk.security.caDistrustPolicies 安全属性中删除 CAMERFIRMA_TLS。

这些限制适用于 OpenJDK 的以下 Camerfirma 根证书，其中包括：

请参阅 JDK-8346587 (JDK Bug System)。

修复了 PKCS11 机制中有问题的 SunPKCS11 供应商检查的问题

在 OpenJDK 14 中，SunPKCS11 供应商引入了 传统机制 的概念。如果机制使用弱算法，供应商会决定这种机制是旧的，然后禁用它。

在早期版本中，此行为不灵活。例如，您无法覆盖旧的确定来启用禁用的机制。另外，即使未使用加密，使用签名的机制也会被视为旧的，因此如果有弱加密算法，则禁用它。同样，弱签名算法阻止使用机制作为加密或解密的密码。

OpenJDK 21.0.7 通过引入 SunPKCS11 供应商的 allowLegacy 配置属性来解决这个问题。您可以通过将 allowLegacy 属性设置为 true 来覆盖旧的确定。此属性默认设置为 false。

从这个版本以后，供应商还会在决定旧状态时考虑服务类型。现在，供应商只检查加密算法，并只检查签名。

请参阅 JDK-8293345 (JDK Bug System)。

更新于 2025-04-30