Сборки семейства дистрибутивов Axiom JDK 18.0.2, 17.0.4, 11.0.16 и 8u342 доступны для скачивания

Июль 25, 2022

Сегодня мы выпустили сборки семейства дистрибутивов Axiom JDK в рамках цикла критических обновлений безопасности (CPU). CPU патчи (версии 8u341, 11.0.15.1.1 и 17.0.3.1.1) содержат исправления известных уязвимостей (CVE) и помогают поддержать безопасность и производительность рантайма на должном уровне. PSU релизы (версии 8u342, 11.0.16, 17.0.4 и 18.0.2) содержат некритические исправления.

В целом, релиз содержит 848 фиксов и бэкпортов. Команда Axiom JDK приняла участие в устранении 34 проблем (32 в JDK и 2 в FX).

Содержание

1. Как сохранить безопасность рантайма
2. Обзор исправленных ошибок
   1. Перечень устраненных уязвимостей
3. Обзор устраненных уязвимостей в Axiom JDK
4. Ключевые изменения в основной ветви
5. Поддерживаемые платформы
6. Воспользуйтесь преимуществами самого стабильного рантайма!
7. Полезные ссылки

Как сохранить безопасность рантайма

Рекомендуется обновлять Axiom JDK с выходом каждого релиза в рамках ежеквартального критического обновления безопасности (CPU) для поддержания стабильной и безопасной работы среды исполнения.

CPU релизы выходят в январе, апреле, июне и октябре.

Обновления и патчи Axiom JDK Pro и Axiom JDK Certified всегда доступны нашим клиентам на портале технического обслуживания. Лицензию на семейство дистрибутивов Axiom JDK можно приобрести у наших партнеров.

Обзор исправленных ошибок

• устраненные уязвимости (CVEs) ー 4;
• патчи безопасности, внесенные в CPU релиз ー 31:
  • в Axiom 8u341: 9 патчей безопасности + 2 в FX,
  • в Axiom 11.0.15.1.1: 8 патчей безопасности + 2 в FX,
  • в Axiom 17.0.3.1.1: 8 патчей безопасности + 2 в FX.

Помимо этого, PSU релизы содержат 817 фиксов и бэкпортов:

• в Axiom 8u342: 11 патчей безопасности (9 + 2 в FX) + 84 дополнительных фикса,
• в Axiom 11.0.16: 10 патчей безопасности (8 + 2 в FX) + 287 дополнительных фиксов,
• в Axiom 17.0.4: 10 патчей безопасности (8 + 2 в FX) + 270 дополнительных фиксов,
• в Axiom 18.0.2: 13 патчей безопасности (11 + 2 в FX) + 132 дополнительных фикса.

Перечень устраненных уязвимостей

Обзор устраненных уязвимостей в Axiom JDK

CVEs, устраненные в Axiom JDK в соответствии с версией:

CVE                 JBS        CVSS   8   11    17   18

CVE-2022-34169      8285407    7.5    ●    ●    ●    ●
CVE-2022-21540      8281859    5.3    ●    ●    ●    ●
CVE-2022-21541      281866     5.9    ●    ●    ●    ●
CVE-2022-21549      8283875    5.3    -    -    ●    ●

Ключевые изменения в основной ветви

Ниже представлены важные улучшения и фиксы в данном CPU релизе.

Исправление ошибки генерации хранилища ключей PKCS12

В Java 8 API KeyStore.load допускал null-значение предоставленного пароля. В таком случае проверка целостности хранилища ключей не выполнялась. Но если значение пароля было null, PKCS12 не возвращал сертификат. Данный фикс исправляет это поведение.

Бесконечный цикл в ZipOutputStream.close()

В Java 11 и 17 в некоторых случаях при потери связи с клиентом или блокировке socket write по истечению времени ожидания исходящий поток закрывался до завершения записи zip-файла. Это приводило к бесконечному циклу в ZipOutputStream.close().

Проблемы с cpu.shares

В данном релизе были исправлены две проблемы, связанные с cpu.shares в контейнерной среде. Первая проблема заключалась в неправильном расчете количества CPU для текущих процессов, что приводило к недостаточно эффективному использованию ядер и неожиданному поведению. Вторая проблема была связана с неправильным расчетом ActiveProcessorCount, в результате чего JVM использовала лишь часть доступных ядер.

Невыполнение десериализации lambda-выражений при ссылке на методы класса Object через интерфейс

Сериализованные ссылки на методы класса Object, которые используют интерфейс в качестве типа, на котором вызывается этот метод, теперь могут быть десериализованы. Чтобы десериализация заработала, нужно заново скомпилировать классфайлы.

Поддерживаемые платформы

Axiom JDK гарантированно функционирует на большом количестве платформ, включая процессоры и ОС отечественного производства, и поддерживает FX и Webstart. Мы также поставляем сервер Java-приложений Libercat, основанный на Apache Tomcat/Tom EE и представляющий собой функциональную замену Oracle WebLogic, IBM WebSphere, Jboss (комплект поставки включает Axiom JDK Pro).

Axiom JDK также работает в виртуальной и облачной среде. Поддерживаются следующие гипервизоры:

• Docker
• KVM
• Microsoft Hyper-V (gen 1 и gen 2)
• VirtualBox
• VMware vSphere Hypervisor
• Solaris Containers & Solaris LDOMs

Axiom JDK поддерживает всех основных поставщиков облачных услуг, в том числе:

• Amazon AWS
• Digital Ocean
• Google Cloud
• Microsoft Azure
• OVH
• Packet
• Scaleway
• VMware Tanzu
• Yandex Cloud

Воспользуйтесь преимуществами самого стабильного рантайма!

Цикл CPU релизов позволяет сообществу OpenJDK своевременно внедрять патчи безопасности и исправлять баги, благодаря чему риск атак на ваши приложения сводится к минимуму. Приобретая лицензию на Axiom JDK, вы получаете доступ к своевременным обновлениям безопасности. Все свежие версии дистрибутивов проходят через процесс исследования исходного кода в соответствии с лучшими мировыми и отечественными практиками безопасной разработки. Помимо доверенного Java-рантайма вы можете приобрести доступ к доверенному репозиторию Java-бибилотек от команды Axiom JDK. Инженерный центр по безопасности команды Axiom JDK выполняет проверку исходных кодов всех библиотек в процессе сборки. Кликните по кнопке ниже, чтобы перейти в Центр загрузок Axiom JDK.

Полезные ссылки

1. [JDK-8266526] Customizing the generation of a PKCS12 keystore
2. [JDK-8283522] Infinite loop in ZipOutputStream.close()
3. [JDK-8283355] cpu.shares does not correctly calculate the number of CPUs for the processes to use
4. [JDK-8288604] cpu.shares did not compute ActiveProcessorCount correctly
5. [JDK-8288605] Lambda deserialization failed for Object method references on interfaces