28 октября, 2022
Вышли новые сборки Axiom NIK 22.3.0 и 21.3.4
Мы рады сообщить о выходе новых сборок Инструментария Нативных Образов Axiom NIK 22.3.0 и 21.3.4 в рамках ежеквартального цикла обновлений безопасности. Свежие версии содержат важные фиксы и улучшения.
Axiom NIK — это инструмент на базе GraalVM, преобразующий JVM-приложения в нативные исполняемые файлы. Он помогает уменьшить объем потребляемой памяти и ускоряет запуск приложений.
Все сборки Axiom NIK содержат последнюю версию Axiom JDK с устраненными багами и проблемами безопасности.
Обзор улучшений
Значимые изменения
- Улучшена поддержка модульной системы Java. Теперь при сборке нативных образов приложений JavaFX с применением NIK версии Full не нужно перечислять все модули JavaFX в командой строке посредством опции
--add-modules javafx.controls,..., так как все модули, входящие в состав JDK, видимы по умолчанию - Добавлена поддержка событий JFR:
jdk.JavaMonitorEnter, jdk.JavaMonitorWait, jdk.ThreadSleep - Добавлена поддержка дампов кучи
- Добавлена новая стратегия инициализации классов, позволяющая использовать все классы на этапе сборки образа
- Добавлена поддержка
ThreadMXBean#getThreadCpuTime - Добавлена опция
--enable-monitoring
Перечень устраненных уязвимостей
| CVE ID | Оценка cvss | Компонент | Модуль | Вектор атаки (сеть/локальный) | Сложность (низк./высок.) | Привилегии (нет/низк.) | Взаимодействие пользователя (нет/необходимо) | Область применения (изменено/без изменений) | Конфиденциальность (низк./нет/высок.) | Целостность (низк./нет/высок.) | Доступность (низк./нет/высок.) |
|---|---|---|---|---|---|---|---|---|---|---|---|
| CVE-2022-21618 | 5.3 | security-libs | org.ietf.jgss | сеть | низк. | нет | нет | без изменений | нет | низк. | нет |
| CVE-2022-21619 | 3.7 | security-libs | java.security | сеть | высок. | нет | нет | без изменений | низк. | нет | нет |
| CVE-2022-21624 | 3.7 | core-libs | javax.naming | сеть | высок. | нет | нет | без изменений | нет | низк. | нет. |
| CVE-2022-21626 | 5.3 | security-libs | java.security | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-21628 | 5.3 | core-libs | java.net | сеть | низк. | нет | нет | без изменений | нет | нет | низк. |
| CVE-2022-39399 | 3.7 | core-libs | java.net | сеть | высок. | нет | нет | без изменений | нет | низк. | нет |
Обзор фиксов в Axiom NIK
CVEs, устраненные в Axiom NIK в соответствии с версией:
| CVE | 22.3.0 (JDK 11) | 22.3.0 (JDK 17) | 21.3.4 (JDK 11) | 21.3.4 (JDK 17) |
|---|---|---|---|---|
| CVE-2022-21626 | ● | ● | ||
| CVE-2022-21618 | ● | ● | ● | ● |
| CVE-2022-21628 | ● | ● | ● | ● |
| CVE-2022-39399 | ● | ● | ● | ● |
| CVE-2022-21619 | ● | ● | ● | ● |
| CVE-2022-21624 | ● | ● | ● | ● |
Заключение
Axiom JDK стремится обеспечить Java-разработчиков полным набором безопасных, производительных и доступных технологий. Axiom NIK призван вывести разработку в вашей компании на новый уровень благодаря производительным микроконтейнерам и поддержке от лицензиата ФСТЭК России и лидера OpenJDK. Приобретая лицензию на Axiom NIK, вы получаете доступ к последним версиям с патчами безопасности и другими улучшениями.
