Axiom 17.0.2, 11.0.14 и 8u322 доступны для загрузки
Январь 19, 2022
Сегодня в рамках цикла ежеквартальных обновлений выходят сборки Axiom JDK versions 17.0.2, 11.0.14 и 8u322. CPU (критические обновления безопасности) релизы помогают поддерживать максимальную безопасность и эффективность рантайма, так как они содержат исправления критических уязвимостей и багов. Кроме того, PSU сборки содержать фиксы некритических проблем.
Этот релиз содержит в целом 790 исправлений и бэкпортов. 9 проблем безопасности были устранены при участии Axiom JDK (8 в JDK и 1 в FX).
Содержание
- Как сохранить безопасность рантайма
- Обзор исправленных ошибок
- Обзор устраненных уязвимостей в Axiom JDK
- Важные изменения в основной ветви OpenJDK
- Поддерживаемые платформы
- Воспользуйтесь преимуществами самого стабильного рантайма!
- Полезные ссылки
Как сохранить безопасность рантайма
Axiom JDK рекомендует обновлять Axiom JDK с выходом каждого релиза в рамках ежеквартального критического обновления безопасности (CPU) для поддержания стабильной и безопасной работы среды исполнения.
CPU релизы выходят в январе, апреле, июне и октябре.
Обновления и патчи Axiom JDK можно скачать бесплатно.
Обзор исправленных ошибок
- устраненные уязвимости (CVEs) ー 16;
- патчи безопасности, внесенные в CPU релиз ー 93:
- в Axiom 8u321: 30 патчей безопасности (28 + 2 в FX),
- в Axiom 11.0.13.0.1: 33 патча безопасности (31 + 2 в FX),
- в Axiom 17.0.1.0.1: 30 патчей безопасности (28 + 2 в FX).
Помимо этого, PSU релизы содержат 790 фиксов и бэкпортов:
- в Axiom 8u322: 30 патчей безопасности (28 + 2 в FX) + 52 дополнительных фикса,
- в Axiom 11.0.14: 33 патча безопасности (30 + 2 в FX) + 353 дополнительных фикса,
- в Axiom 17.0.2: 30 патчей безопасности (28 + 2 в FX) + 292 дополнительных фикса.
Перечень устраненных уязвимостей
| CVE ID | Оценка cvss | Компонент | Модуль | Вектор атаки (сеть/локальный) | Сложность (низк./высок.) | Привилегии (нет/низк.) | Взаимодействие пользователя (нет/необходимо) | Область применения (изменено/без изменений) | Конфиденциальность (низк./нет/высок.) | Целостность (низк./нет/высок.) | Доступность (низк./нет/высок.) |
|---|---|---|---|---|---|---|---|---|---|---|---|
| CVE-2022-21341 | 5.3 | core-libs | java.io:serialization | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-21365 | 5.3 | client-libs | javax.imageio | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-21282 | 5.3 | xml | jaxp | сеть | низк. | нет | нет | без изменений | низк. | нет | нет |
| CVE-2022-21291 | 5.3 | hotspot | runtime | сеть | низк. | нет | нет | без изменений | нет | низк. | нет |
| CVE-2022-21277 | 5.3 | client-libs | javax.imageio | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-21305 | 5.3 | hotspot | compiler | сеть | низк. | нет | нет | без изменений | нет | низк. | нет |
| CVE-2022-21299 | 5.3 | xml | jaxp | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-21296 | 5.3 | xml | jaxp | сеть | низк. | нет | нет | без изменений | низк. | нет | нет |
| CVE-2022-21349 | 5.3 | client-libs | 2d | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-21283 | 5.3 | core-libs | java.util | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-21340 | 5.3 | security-libs | java.security | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-21293 | 5.3 | core-libs | java.lang | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-21294 | 5.3 | core-libs | java.util | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-21360 | 5.3 | client-libs | javax.imageio | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-21366 | 5.3 | client-libs | javax.imageio | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-21248 | 3.7 | core-libs | java.io:serialization | сеть | высок. | нет | нет | без изменений | нет | низк. | нет |
Обзор устраненных уязвимостей в Axiom JDK
CVEs, устраненные в Axiom в соответствии с версией:
- 17.0.2: 15 (15 + 0 в FX);
- 11.0.14: 15 (15 + 0 в FX);
- 8u322: 13 (13 + 0 в FX).
Важные изменения в основной ветви OpenJDK
Обновление Timezone Data до 2021e
Данная проблема была связана с обновлением правил коррекции часовых поясов, представленным IANA Time Zone Database в 2021 году. Некоторые правки, внесенные в версию 2021b, вызвали проблемы с совместимостью и содержали несколько опечаток. Решение заключалось в обновлении до версии 2021e.
- восстановление изменений, внесенных в 2021b, до
backward; - исправление бага
zic -b fatв 32-битных данных до 1970; - исправление опечаток в строке Link;
- распространение файла SECURITY.
Устранение ошибки в работе метода Files.walkFileTree
В случаях, когда zip файл содержал папку с «.» в названии, метод Files.walkFileTree выполнялся бесконечно. Ранее уже был устранен баг, приводивший к похожей ошибке при наличии «/» в названии папки.
Чтобы эта проблема не возникала, теперь нельзя использовать «.» и «..» в названиях zip файлов, используемых в файловой системе. При наличии таких папок методы java.nio.file.FileSystems.newFileSystem(...) вернут ZipException.
Исправление бага, связанного с незапланированным очищением megamorphic vtable inline cache сборщиком мусора
Проблема была связана с функционированием сборщика мусора (GC). 10-летний баг приводил к продолжительному Concurrent Process Non-Strong References при использовании ZGC (Z Garbage Collector), что могло вызвать существенные проблемы с временем отклика и производительностью приложений. В общих чертах, GC очищал megamorphic vtable call cache (подробное описание на английском языке содержится в Java Bug System), после чего потоки Java исправляли очищенный кэш, используя ICStubs. Кэш снова принимал форму megamorphic vtable calls. В результате GC и потоки Java по очереди меняли статус inline cache с очищенного на megamorphic vtable calls и планировали безопасное состояние ICBufferFull. Это могло длиться много секунд или даже несколько минут. Чтобы убедиться в устранении проблемы, изучите логи после запуска приложения с -Xlog:gc*.
Поддерживаемые платформы
Axiom JDK гарантированно функционирует на большом количестве платформ.
Axiom JDK также работает в виртуальной и облачной среде. Поддерживаются следующие гипервизоры:
- Docker
- KVM
- Microsoft Hyper-V (gen 1 и gen 2)
- VirtualBox
- VMware vSphere Hypervisor
- Solaris Containers & Solaris LDOMs
Axiom JDK поддерживает всех основных поставщиков облачных услуг, в том числе:
- Amazon AWS
- Digital Ocean
- Google Cloud
- Microsoft Azure
- OVH
- Packet
- Scaleway
- VMware Tanzu
- Yandex Cloud
Воспользуйтесь преимуществами самого стабильного рантайма!
Axiom JDK привержена своей цели, заключающейся в реализации стратегии Java 360. В связи с этим мы постоянно работаем над повышением безопасности и эффективности наших продуктов, а также обеспечением непрерывной защиты рантайма Java.
Новые сборки Axiom JDK уже находятся в открытом доступе! Кликните по кнопке ниже или перейдите в Центр загрузок Axiom JDK.
Полезные ссылки
