Axiom JDK 18.0.2, 17.0.4, 11.0.16 и 8u342 доступны для загрузки

Сборки семейства дистрибутивов Axiom JDK 18.0.2, 17.0.4, 11.0.16 и 8u342 доступны для скачивания


Июль 25, 2022


Сегодня мы выпустили сборки семейства дистрибутивов Axiom JDK в рамках цикла критических обновлений безопасности (CPU). CPU патчи (версии 8u341, 11.0.15.1.1 и 17.0.3.1.1) содержат исправления известных уязвимостей (CVE) и помогают поддержать безопасность и производительность рантайма на должном уровне. PSU релизы (версии 8u342, 11.0.16, 17.0.4 и 18.0.2) содержат некритические исправления.

В целом, релиз содержит 848 фиксов и бэкпортов. БЕЛЛСОФТ приняла участие в устранении 34 проблем (32 в JDK и 2 в FX).

Содержание

  1. Как сохранить безопасность рантайма
  2. Обзор исправленных ошибок
    1. Перечень устраненных уязвимостей
  3. Обзор устраненных уязвимостей в Axiom JDK
  4. Ключевые изменения в основной ветви
  5. Поддерживаемые платформы
  6. Воспользуйтесь преимуществами самого стабильного рантайма!
  7. Полезные ссылки

Как сохранить безопасность рантайма

БЕЛЛСОФТ рекомендует обновлять Axiom JDK с выходом каждого релиза в рамках ежеквартального критического обновления безопасности (CPU) для поддержания стабильной и безопасной работы среды исполнения.

CPU релизы выходят в январе, апреле, июне и октябре.

Обновления и патчи Axiom JDK Pro и Axiom JDK Certified всегда доступны нашим клиентам на портале технического обслуживания. Лицензию на семейство дистрибутивов Axiom JDK можно приобрести у наших партнеров.

Обзор исправленных ошибок

  • устраненные уязвимости (CVEs) ー 4;
  • патчи безопасности, внесенные в CPU релиз ー 31:
    • в Axiom 8u341: 9 патчей безопасности + 2 в FX,
    • в Axiom 11.0.15.1.1: 8 патчей безопасности + 2 в FX,
    • в Axiom 17.0.3.1.1: 8 патчей безопасности + 2 в FX.

Помимо этого, PSU релизы содержат 817 фиксов и бэкпортов:

  • в Axiom 8u342: 11 патчей безопасности (9 + 2 в FX) + 84 дополнительных фикса,
  • в Axiom 11.0.16: 10 патчей безопасности (8 + 2 в FX) + 287 дополнительных фиксов,
  • в Axiom 17.0.4: 10 патчей безопасности (8 + 2 в FX) + 270 дополнительных фиксов,
  • в Axiom 18.0.2: 13 патчей безопасности (11 + 2 в FX) + 132 дополнительных фикса.

Перечень устраненных уязвимостей

CVE ID Оценка cvss Компонент Модуль Вектор атаки (сеть/локальный) Сложность (низк./высок.) Привилегии (нет/низк.) Взаимодействие пользователя (нет/необходимо) Область применения (изменено/без изменений) Конфиденциальность (низк./нет/высок.) Целостность (низк./нет/высок.) Доступность (низк./нет/высок.)
CVE-2022-34169 7.5 xml java.xml сеть низк. нет нет без изменений нет высок. нет
CVE-2022-21540 5.3 core-libs java.base сеть низк. нет нет без изменений низк. нет нет
CVE-2022-21541 5.9 core-libs java.base сеть высок. нет нет без изменений нет высок нет.
CVE-2022-21549 5.3 core-libs java.base сеть низк. нет нет без изменений нет низк. нет

Обзор устраненных уязвимостей в Axiom JDK

CVEs, устраненные в Axiom JDK в соответствии с версией:

CVE                 JBS        CVSS   8   11    17   18

CVE-2022-34169      8285407    7.5    ●    ●    ●    ●
CVE-2022-21540      8281859    5.3    ●    ●    ●    ●
CVE-2022-21541      281866     5.9    ●    ●    ●    ●
CVE-2022-21549      8283875    5.3    -    -    ●    ●

Ключевые изменения в основной ветви

Ниже представлены важные улучшения и фиксы в данном CPU релизе.

Исправление ошибки генерации хранилища ключей PKCS12

В Java 8 API KeyStore.load допускал null-значение предоставленного пароля. В таком случае проверка целостности хранилища ключей не выполнялась. Но если значение пароля было null, PKCS12 не возвращал сертификат. Данный фикс исправляет это поведение.

Бесконечный цикл в ZipOutputStream.close()

В Java 11 и 17 в некоторых случаях при потери связи с клиентом или блокировке socket write по истечению времени ожидания исходящий поток закрывался до завершения записи zip-файла. Это приводило к бесконечному циклу в ZipOutputStream.close().

Проблемы с cpu.shares

В данном релизе были исправлены две проблемы, связанные с cpu.shares в контейнерной среде. Первая проблема заключалась в неправильном расчете количества CPU для текущих процессов, что приводило к недостаточно эффективному использованию ядер и неожиданному поведению. Вторая проблема была связана с неправильным расчетом ActiveProcessorCount, в результате чего JVM использовала лишь часть доступных ядер.

Невыполнение десериализации lambda-выражений при ссылке на методы класса Object через интерфейс

Сериализованные ссылки на методы класса Object, которые используют интерфейс в качестве типа, на котором вызывается этот метод, теперь могут быть десериализованы. Чтобы десериализация заработала, нужно заново скомпилировать классфайлы.

Поддерживаемые платформы

Axiom JDK гарантированно функционирует на большом количестве платформ, включая процессоры и ОС отечественного производства, и поддерживает FX и Webstart. Мы также поставляем сервер Java-приложений Libercat, основанный на Apache Tomcat/Tom EE и представляющий собой функциональную замену Oracle WebLogic, IBM WebSphere, Jboss (комплект поставки включает Axiom JDK Pro).

Axiom JDK также работает в виртуальной и облачной среде. Поддерживаются следующие гипервизоры:

  • Docker
  • KVM
  • Microsoft Hyper-V (gen 1 и gen 2)
  • VirtualBox
  • VMware vSphere Hypervisor
  • Solaris Containers & Solaris LDOMs

Axiom JDK поддерживает всех основных поставщиков облачных услуг, в том числе:

  • Amazon AWS
  • Digital Ocean
  • Google Cloud
  • Microsoft Azure
  • OVH
  • Packet
  • Scaleway
  • VMware Tanzu
  • Yandex Cloud

Воспользуйтесь преимуществами самого стабильного рантайма!

Цикл CPU релизов позволяет сообществу OpenJDK своевременно внедрять патчи безопасности и исправлять баги, благодаря чему риск атак на ваши приложения сводится к минимуму. Приобретая лицензию на Axiom JDK, вы получаете доступ к своевременным обновлениям безопасности. Все свежие версии дистрибутивов проходят через процесс исследования исходного кода в соответствии с лучшими мировыми и отечественными практиками безопасной разработки. Помимо доверенного Java-рантайма вы можете приобрести доступ к доверенному репозиторию Java-бибилотек от БЕЛЛСОФТ. Инженерный центр по безопасности БЕЛЛСОФТ выполняет проверку исходных кодов всех библиотек в процессе сборки. Кликните по кнопке ниже, чтобы перейти в Центр загрузок Axiom JDK.

Полезные ссылки

  1. [JDK-8266526] Customizing the generation of a PKCS12 keystore
  2. [JDK-8283522] Infinite loop in ZipOutputStream.close()
  3. [JDK-8283355] cpu.shares does not correctly calculate the number of CPUs for the processes to use
  4. [JDK-8288604] cpu.shares did not compute ActiveProcessorCount correctly
  5. [JDK-8288605] Lambda deserialization failed for Object method references on interfaces
Author image

Алексей Войтылов

Технический директор БЕЛЛСОФТ

ООО БЕЛЛСОФТ info@axiomjdk.ru ООО БЕЛЛСОФТ logo Axiom Committed to Freedom 199 Obvodnogo Kanala Emb. 190020 St. Petersburg RU +7 812-336-35-67 ООО БЕЛЛСОФТ 199 Obvodnogo Kanala Emb. 190020 St. Petersburg RU +7 812-336-35-67 ООО БЕЛЛСОФТ 111 North Market Street, Suite 300 CA 95113 San Jose US +1 702 213-59-59