Axiom 18.0.1, 17.0.3, 11.0.15, и 8u332 доступны для загрузки

Сборки Axiom 18.0.1, 17.0.3, 11.0.15 и 8u332 доступны для скачивания


Апрель 21, 2022


Сегодня мы выпустили сборки Axiom JDK в рамках цикла критических обновлений безопасности (CPU). CPU-патчи (версии 8u331, 11.0.14.1.1, 17.0.2.1 и 7u341) содержат исправления известных уязвимостей (CVE) и помогают поддержать безопасность и производительность рантайма на должном уровне. Помимо CPU мы также выпускаем сборки с обновлениями (PSU, версии 18.0.1, 17.0.3, 11.0.15 и 8u332), которые содержат исправления некритических ошибок.

Релиз содержит 604 фиксов и бэкпортов. Axiom JDK приняло участие в устранении 52 проблем (31 в JDK и 21 в FX)

Содержание

  1. Как сохранить безопасность рантайма
  2. Обзор исправленных ошибок
    1. Перечень устраненных уязвимостей
  3. Обзор устраненных уязвимостей в Axiom JDK
  4. Ключевые изменения в основной ветви
  5. Поддерживаемые платформы
  6. Воспользуйтесь преимуществами самого стабильного рантайма!
  7. Полезные ссылки

Как сохранить безопасность рантайма

Рекомендуется обновлять Axiom JDK с выходом каждого релиза в рамках ежеквартального критического обновления безопасности (CPU) для поддержания стабильной и безопасной работы среды исполнения.

CPU релизы выходят в январе, апреле, июне и октябре.

Обновления и патчи Axiom JDK можно скачать бесплатно.

Обзор исправленных ошибок

  • устраненные уязвимости (CVEs) ー 6;
  • патчи безопасности, внесенные в CPU релиз ー 86:
    • в Axiom 7u341: 17 патчей безопасности,
    • в Axiom 8u331: 20 патчей безопасности + 3 в FX,
    • в Axiom 11.0.14.1.1: 19 патчей безопасности + 3 в FX,
    • в Axiom 17.0.2.1: 21 патчей безопасности + 3 в FX.

Помимо этого, PSU релизы содержат 518 фиксов и бэкпортов:

  • в Axiom 8u332: 23 патчей безопасности (20 + 3 в FX) + 41 дополнительный фикс,
  • в Axiom 11.0.15: 22 патчей безопасности (19 + 3 в FX) + 181 дополнительный фикс,
  • в Axiom 17.0.3: 24 патчей безопасности (21 + 3 в FX) + 174 дополнительных фикса,
  • в Axiom 18.0.1: 23 патчей безопасности (20 + 3 в FX) + 30 дополнительных фиксов.

Перечень устраненных уязвимостей

CVE ID Оценка cvss Компонент Модуль Вектор атаки (сеть/локальный) Сложность (низк./высок.) Привилегии (нет/низк.) Взаимодействие пользователя (нет/необходимо) Область применения (изменено/без изменений) Конфиденциальность (низк./нет/высок.) Целостность (низк./нет/высок.) Доступность (низк./нет/высок.) Axiom JDK 8u332 Axiom JDK 11.0.15 Axiom JDK 17.0.3 Axiom JDK 18.0.1
CVE-2022-21449 7.5 security-libs java.security сеть низк. нет нет без изменений нет высок. нет
CVE-2022-21476 7.5 security-libs java.security сеть низк. нет нет без изменений высок. нет нет
CVE-2022-21426 5.3 xml jaxp сеть низк. нет нет без изменений нет нет низк.
CVE-2022-21434 5.3 core-libs java.lang сеть низк. нет нет без изменений нет низк. нет
CVE-2022-21496 5.3 core-libs javax.naming сеть низк. нет нет без изменений нет низк. нет
CVE-2022-21443 3.7 security-libs java.security сеть высок. нет нет без изменений нет нет низк.

Обзор устраненных уязвимостей в Axiom JDK

CVEs, устраненные в Axiom в соответствии с версией:

CVE               JBS        CVSS       8    11   17   18
CVE-2022-21449    8277233    7.5        -    -    ●    ●
CVE-2022-21476    8278008    7.5        ●    ●    -    -
CVE-2022-21426    8270504    5.3        ●    ●    ●    ●
CVE-2022-21434    8277672    5.3        ●    ●    ●    ●
CVE-2022-21496    8278972    5.3        ●    ●    ●    ●
CVE-2022-21443    8275151    3.7        ●    ●    ●    ●

Ключевые изменения в основной ветви

Данный CPU-релиз содержит ряд важных изменений и улучшений. Он также включает первую сборку не-LTS-версии JDK 18 с патчами безопасности. Минорные релизы редко используются в корпоративной разработке, но если вы установили JDK 18, чтобы протестировать новые фичи, рекомендуем вам обновиться для сохранения безопасности и производительности рантайма.

Порт macOS/AArch64

Важнейшее улучшение заключается в имплементации JEP 391, в котором JDK портируется на платформу macOS/AArch64. С того момента, как Apple начала переводить свои компьютеры с архитектуры x64_86 на собственные микропроцессоры на базе ARM (M1 или Apple Silicon), спрос на macOS/AArch64 среди Java продолжает расти. Микропроцессоры Apple M1 демонстрируют лучшую производительность по сравнению с традиционными процессорами Intel, но транслятор Rosetta 2, который позволяет запускать на M1 написанные для Intel приложения, в некоторой степени влияет на производительность Java-приложений. Теперь JEP 391 бэкпортирован на jdk11u-dev, благодаря чему необходимость в трансляторе отпадает.

Обновление XML Security для Java

Модуль java.xml.crypto, определяющий API для XML-криптографии, был обновлен до версии 2.3.0. Это поможет сохранить безопасность криптографических операций на высшем уровне. Эта версия также теперь соответствует версии Apache XML Security v.2.3.0 (проект Apache Santuario, страница на английском языке).

Следует особо отметить компилятор XSLTC, устанавливающий верхний порог количества групп в выражениях XPath (-Djdk.xml.xpathExprGrpLimit=10), что может повлиять на работу таких продуктов, как Apache Solr. Если у вас возникнет ошибка наподобие этой: «JAXP0801001: the compiler encountered an XPath expression containing ‘X’ groups that exceeds the ‘Y’ limit», ее можно устранить, увеличив порог. Для этого установите опцию jdk.xml.xpathExprGrpLimit? на X (добавьте -Djdk.xml.xpathExprGrpLimit=X к java-опциям)

Добавлена поддержка ChaCha20 и Poly1305 к поставщику SunPKCS11

Криптографические интерфейсы в Java (JCA и JCE) реализуются через провайдеров. SunPKS11 — это провайдер, обеспечивающий связь между JCA/JCE API и PKCS#11, стандартом семейства стандартов интерфейсов криптографических токенов (Cryptographic Token Interface Standards). Поддержка криптографических алгоритмов ChaCha20 (поточный шифр) и Poly1305 (аутентификатор) будет ценным дополнением к провайдеру SunPKC11 в JDK 11.

Обновление версии Jline

Библиотека Jline работает с вводными данными с консоли в в плане функционала аналогична Zsh Line Editor. Обновление Jline до версии 3.20.0 включает в себя поддержку терминала rxvt и несколько общих улучшений.

Добавлена поддержка подписей RSASSA-PSS в ответе OCSP

Обновленные версии Axiom JDK позволяют правильно верифицировать OCSP-ответы, подписанные RSASSA-PSS. При использовании предыдущих версий могли возникать исключения при попытке верификации OCSP-ответа с подписью RSASSA-PSS.

Поддерживаемые платформы

Axiom JDK гарантированно функционирует на большом количестве платформ.

Axiom JDK также работает в виртуальной и облачной среде. Поддерживаются следующие гипервизоры:

  • Docker
  • KVM
  • Microsoft Hyper-V (gen 1 и gen 2)
  • VirtualBox
  • VMware vSphere Hypervisor
  • Solaris Containers & Solaris LDOMs

Axiom JDK поддерживает всех основных поставщиков облачных услуг, в том числе:

  • Amazon AWS
  • Digital Ocean
  • Google Cloud
  • Microsoft Azure
  • OVH
  • Packet
  • Scaleway
  • VMware Tanzu
  • Yandex Cloud

Воспользуйтесь преимуществами самого стабильного рантайма!

Цикл CPU релизов позволяет сообществу OpenJDK своевременно внедрять патчи безопасности и исправлять баги, благодаря чему риск атак на ваши приложения сводится к минимуму. Скачайте новые сборки Axiom JDK прямо сейчас! Кликните по кнопке ниже, чтобы перейти в Центр загрузок Axiom JDK.

Полезные ссылки

  1. [JDK-8253795] macOS/AArch64 Port - Java Bug System
  2. [JDK-8275082] Update XML Security for Java to 2.3.0 - Java Bug System
  3. [JDK-8255410] ChaCha20 and Poly1305 support - Java Bug System
  4. [JDK-8274892] Upgrade Jline to 3.20.0 - Java Bug System
  5. [JDK-8274471] Support for RSASSA-PSS - Java Bug System
Author image

Олег Чирухин

Директор по коммуникациям с разработчиками (DevRel)

Axiom JDK info@axiomjdk.ru Axiom JDK logo Axiom Committed to Freedom 199 Obvodnogo Kanala Emb. 190020 St. Petersburg RU +7 812-336-35-67 Axiom JDK 199 Obvodnogo Kanala Emb. 190020 St. Petersburg RU +7 812-336-35-67