Liberica 8u322, 11.0.14 и 17.0.2 доступны для загрузки

Liberica 17.0.2, 11.0.14 и 8u322 доступны для загрузки


Январь 19, 2022


Сегодня в рамках цикла ежеквартальных обновлений выходят сборки Liberica JDK versions 17.0.2, 11.0.14 и 8u322. CPU (критические обновления безопасности) релизы помогают поддерживать максимальную безопасность и эффективность рантайма, так как они содержат исправления критических уязвимостей и багов. Кроме того, PSU сборки содержать фиксы некритических проблем.

Этот релиз содержит в целом 790 исправлений и бэкпортов. 9 проблем безопасности были устранены при участии BellSoft (8 в JDK и 1 в FX).

Содержание

  1. Как сохранить безопасность рантайма
  2. Обзор исправленных ошибок
    1. Перечень устраненных уязвимостей
  3. Обзор устраненных уязвимостей в Liberica JDK
  4. Важные изменения в основной ветви OpenJDK
  5. Поддерживаемые платформы
  6. Воспользуйтесь преимуществами самого стабильного рантайма!
  7. Полезные ссылки

Как сохранить безопасность рантайма

BellSoft рекомендует обновлять Liberica JDK с выходом каждого релиза в рамках ежеквартального критического обновления безопасности (CPU) для поддержания стабильной и безопасной работы среды исполнения.

CPU релизы выходят в январе, апреле, июне и октябре.

Обновления и патчи Liberica JDK можно скачать бесплатно.

Обзор исправленных ошибок

  • устраненные уязвимости (CVEs) ー 16;
  • патчи безопасности, внесенные в CPU релиз ー 93:
    • в Liberica 8u321: 30 патчей безопасности (28 + 2 в FX),
    • в Liberica 11.0.13.0.1: 33 патча безопасности (31 + 2 в FX),
    • в Liberica 17.0.1.0.1: 30 патчей безопасности (28 + 2 в FX).

    Помимо этого, PSU релизы содержат 790 фиксов и бэкпортов:

    • в Liberica 8u322: 30 патчей безопасности (28 + 2 в FX) + 52 дополнительных фикса,
    • в Liberica 11.0.14: 33 патча безопасности (30 + 2 в FX) + 353 дополнительных фикса,
    • в Liberica 17.0.2: 30 патчей безопасности (28 + 2 в FX) + 292 дополнительных фикса.

Перечень устраненных уязвимостей

CVE ID Оценка cvss Компонент Модуль Вектор атаки (сеть/локальный) Сложность (низк./высок.) Привилегии (нет/низк.) Взаимодействие пользователя (нет/необходимо) Область применения (изменено/без изменений) Конфиденциальность (низк./нет/высок.) Целостность (низк./нет/высок.) Доступность (низк./нет/высок.)
CVE-2022-21341 5.3 core-libs java.io:serialization сеть низк. нет нет без изменений нет нет низк.
CVE-2022-21365 5.3 client-libs javax.imageio сеть низк. нет нет без изменений нет нет низк.
CVE-2022-21282 5.3 xml jaxp сеть низк. нет нет без изменений низк. нет нет
CVE-2022-21291 5.3 hotspot runtime сеть низк. нет нет без изменений нет низк. нет
CVE-2022-21277 5.3 client-libs javax.imageio сеть низк. нет нет без изменений нет нет низк.
CVE-2022-21305 5.3 hotspot compiler сеть низк. нет нет без изменений нет низк. нет
CVE-2022-21299 5.3 xml jaxp сеть низк. нет нет без изменений нет нет низк.
CVE-2022-21296 5.3 xml jaxp сеть низк. нет нет без изменений низк. нет нет
CVE-2022-21349 5.3 client-libs 2d сеть низк. нет нет без изменений нет нет низк.
CVE-2022-21283 5.3 core-libs java.util сеть низк. нет нет без изменений нет нет низк.
CVE-2022-21340 5.3 security-libs java.security сеть низк. нет нет без изменений нет нет низк.
CVE-2022-21293 5.3 core-libs java.lang сеть низк. нет нет без изменений нет нет низк.
CVE-2022-21294 5.3 core-libs java.util сеть низк. нет нет без изменений нет нет низк.
CVE-2022-21360 5.3 client-libs javax.imageio сеть низк. нет нет без изменений нет нет низк.
CVE-2022-21366 5.3 client-libs javax.imageio сеть низк. нет нет без изменений нет нет низк.
CVE-2022-21248 3.7 core-libs java.io:serialization сеть высок. нет нет без изменений нет низк. нет

Обзор устраненных уязвимостей в Liberica JDK

CVEs, устраненные в Liberica в соответствии с версией:

  • 17.0.2: 15 (15 + 0 в FX);
  • 11.0.14: 15 (15 + 0 в FX);
  • 8u322: 13 (13 + 0 в FX).

Важные изменения в основной ветви OpenJDK

Обновление Timezone Data до 2021e

Данная проблема была связана с обновлением правил коррекции часовых поясов, представленным IANA Time Zone Database в 2021 году. Некоторые правки, внесенные в версию 2021b, вызвали проблемы с совместимостью и содержали несколько опечаток. Решение заключалось в обновлении до версии 2021e.

  • восстановление изменений, внесенных в 2021b, до backward;
  • исправление бага zic -b fat в 32-битных данных до 1970;
  • исправление опечаток в строке Link;
  • распространение файла SECURITY.

Устранение ошибки в работе метода Files.walkFileTree

В случаях, когда zip файл содержал папку с «.» в названии, метод Files.walkFileTree выполнялся бесконечно. Ранее уже был устранен баг, приводивший к похожей ошибке при наличии «/» в названии папки.

Чтобы эта проблема не возникала, теперь нельзя использовать «.» и «..» в названиях zip файлов, используемых в файловой системе. При наличии таких папок методы java.nio.file.FileSystems.newFileSystem(...) вернут ZipException.

Исправление бага, связанного с незапланированным очищением megamorphic vtable inline cache сборщиком мусора

Проблема была связана с функционированием сборщика мусора (GC). 10-летний баг приводил к продолжительному Concurrent Process Non-Strong References при использовании ZGC (Z Garbage Collector), что могло вызвать существенные проблемы с временем отклика и производительностью приложений. В общих чертах, GC очищал megamorphic vtable call cache (подробное описание на английском языке содержится в Java Bug System), после чего потоки Java исправляли очищенный кэш, используя ICStubs. Кэш снова принимал форму megamorphic vtable calls. В результате GC и потоки Java по очереди меняли статус inline cache с очищенного на megamorphic vtable calls и планировали безопасное состояние ICBufferFull. Это могло длиться много секунд или даже несколько минут. Чтобы убедиться в устранении проблемы, изучите логи после запуска приложения с -Xlog:gc*.

Поддерживаемые платформы

Liberica JDK гарантированно функционирует на большом количестве платформ.

Liberica JDK также работает в виртуальной и облачной среде. Поддерживаются следующие гипервизоры:

  • Docker
  • KVM
  • Microsoft Hyper-V (gen 1 и gen 2)
  • VirtualBox
  • VMware vSphere Hypervisor
  • Solaris Containers & Solaris LDOMs

Liberica JDK поддерживает всех основных поставщиков облачных услуг, в том числе:

  • Amazon AWS
  • Digital Ocean
  • Google Cloud
  • Microsoft Azure
  • OVH
  • Packet
  • Scaleway
  • VMware Tanzu
  • Yandex Cloud

Воспользуйтесь преимуществами самого стабильного рантайма!

BellSoft привержена своей цели, заключающейся в реализации стратегии Java 360. В связи с этим мы постоянно работаем над повышением безопасности и эффективности наших продуктов, а также обеспечением непрерывной защиты рантайма Java.

Новые сборки Liberica JDK уже находятся в открытом доступе! Кликните по кнопке ниже или перейдите в Центр загрузок Liberica JDK.

Полезные ссылки

  1. [JDK-8275766] Update Timezone Data to 2021e - Java Bug System
  2. [JDK-8251329] Files.walkFileTree issue - Java Bug System
  3. [JDK-8277212] GC issue - Java Bug System
Author image

Алексей Войтылов

Технический директор БЕЛЛСОФТ

ООО БЕЛЛСОФТ info@axiomjdk.ru ООО БЕЛЛСОФТ logo Axiom Committed to Freedom 199 Obvodnogo Kanala Emb. 190020 St. Petersburg RU +7 812-336-35-67 ООО БЕЛЛСОФТ 199 Obvodnogo Kanala Emb. 190020 St. Petersburg RU +7 812-336-35-67 ООО БЕЛЛСОФТ 111 North Market Street, Suite 300 CA 95113 San Jose US +1 702 213-59-59