in

Notas de la versión del kit de desarrollo 8 de Java ™ SE, actualización 271

Kit de desarrollo 8 de Java ™ SE, actualización 271 (JDK 8u271)

20 de octubre de 2020

La cadena de la versión completa para esta versión de actualización es 1.8.0_271-b09 (donde «b» significa «compilación»). El número de versión es 8u271.

Datos IANA 2020a

JDK 8u271 contiene la versión 2020a de datos de zona horaria de IANA. Para obtener más información, consulte Versiones de datos de zona horaria en el software JRE.

Líneas base de seguridad

Las líneas base de seguridad para Java Runtime Environment (JRE) en el momento del lanzamiento de JDK 8u271 se especifican en la siguiente tabla:

Versión de la familia JRE Línea de base de seguridad de JRE (cadena de versión completa)
8 1.8.0_271-b09
7 1.7.0_281-b06

Mantener el JDK actualizado

oraclerecomienda que el JDK se actualice con cada actualización de parche crítico (CPU). Para determinar si una versión es la más reciente, el Página de referencia de seguridad se puede utilizar para determinar cuál es la última versión para cada familia de versiones.

Las actualizaciones de parches críticos, que contienen correcciones de vulnerabilidades de seguridad, se anuncian con un año de anticipación en las actualizaciones de parches críticos, alertas de seguridad y boletines. No se recomienda que este JDK (versión 8u271) se utilice después de la próxima actualización crítica del parche programada para el 19 de enero de 2021.

Los clientes de Java SE Subscription que administran actualizaciones / instalaciones de JRE para una gran cantidad de escritorios deben considerar el uso de Java Advanced Management Console (AMC).

Para los sistemas que no pueden acceder a los servidores Oracle, un mecanismo secundario expira este JRE (versión 8u271) el 20 de febrero de 2021. Una vez que se cumple cualquiera de las condiciones (una nueva versión disponible o una fecha de vencimiento alcanzada), el JRE proporcionará advertencias y recordatorios adicionales para que los usuarios actualicen a la versión más reciente. Para más información, ver 23.1.2 Fecha de vencimiento de JRE en el Plataforma Java, Guía de implementación de la edición estándar.

Nuevas características

security-libs / java.security

Curvas con nombres débiles en TLS, CertPath y JAR firmado deshabilitadas de forma predeterminada

Las curvas con nombres débiles están deshabilitadas de forma predeterminada al agregarlas a lo siguiente disabledAlgorithms propiedades de seguridad: jdk.tls.disabledAlgorithms, jdk.certpath.disabledAlgorithms, y jdk.jar.disabledAlgorithms. Las curvas nombradas se enumeran a continuación.

Con 47 curvas con nombre débiles para deshabilitar, agregando curvas con nombre individuales a cada disabledAlgorithms la propiedad sería abrumadora. Para aliviar esto, una nueva propiedad de seguridad, jdk.disabled.namedCurves, está implementado que puede listar las curvas nombradas comunes a todos los disabledAlgorithms propiedades. Para utilizar la nueva propiedad en el disabledAlgorithms propiedades, preceda el nombre completo de la propiedad con la palabra clave include. Los usuarios aún pueden agregar curvas individuales con nombre a disabledAlgorithms Propiedades separadas de esta nueva propiedad. No se pueden incluir otras propiedades en el disabledAlgorithms propiedades.

Para restaurar las curvas nombradas, elimine el include jdk.disabled.namedCurves ya sea de específicos o de todos disabledAlgorithms propiedades de seguridad. Para restaurar una o más curvas, elimine las curvas específicas con nombre de la jdk.disabled.namedCurves propiedad.

Curvas que están inhabilitadas por jdk.disabled.namedCurves incluyen los siguientes: secp112r1, secp112r2, secp128r1, secp128r2, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1, sect113r1, sect113r2, sect131r1, sect131r2, sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, X9.62 c2tnb191v1, X9.62 c2tnb191v2, X9.62 c2tnb191v3, X9.62 c2tnb239v1, X9.62 c2tnb239v2, X9.62 c2tnb239v3, X9.62 c2tnb359v1, X9 .62 c2tnb431r1, X9.62 prime192v2, X9.62 prime192v3, X9.62 prime239v1, X9.62 prime239v2, X9.62 prime239v3, brainpoolP256r1, brainpoolP320r1, brainpoolP384r1, brainpoolP512r1

Las curvas que permanecen habilitadas son: secp256r1, secp384r1, secp521r1, X25519, X448

security-libs / org.ietf.jgss: krb5

Compatibilidad con referencias de dominio cruzado de Kerberos (RFC 6806)

El cliente Kerberos se ha mejorado con la compatibilidad con la canonicalización del nombre principal y las referencias entre dominios, según lo define la extensión del protocolo RFC 6806.

Como resultado de esta nueva característica, el cliente Kerberos puede aprovechar configuraciones de entorno más dinámicas y no necesariamente necesita saber (de antemano) cómo llegar al ámbito de un principal objetivo (usuario o servicio).

El soporte está habilitado de forma predeterminada y 5 es el número máximo de saltos de referencia permitidos. Para apagarlo, configure el sun.security.krb5.disableReferrals seguridad o propiedad del sistema a falso. Para configurar un número máximo personalizado de saltos de referencia, establezca el sun.security.krb5.maxReferrals seguridad o propiedad del sistema a cualquier valor positivo.

Ver más información en JDK-8223172.

security-libs / javax.net.ssl

Mejorar el manejo de la cadena de certificados

Una nueva propiedad del sistema, jdk.tls.maxHandshakeMessageSize, se ha agregado para establecer el tamaño máximo permitido para el mensaje de protocolo de enlace en el protocolo de enlace TLS / DTLS. El valor predeterminado de la propiedad del sistema es 32768 (32 kilobytes).

Una nueva propiedad del sistema, jdk.tls.maxCertificateChainLength, se ha agregado para establecer la longitud máxima permitida de la cadena de certificados en el protocolo de enlace TLS / DTLS. El valor predeterminado de la propiedad del sistema es 10.

JDK-8245417 (no público)

security-libs / java.security

Las herramientas advierten si se utilizan algoritmos débiles

los keytool y jarsigner Se han actualizado las herramientas para advertir a los usuarios cuando se utilizan algoritmos criptográficos débiles en claves, certificados y JAR firmados antes de que se deshabiliten. Los algoritmos débiles se establecen en el jdk.security.legacyAlgorithms propiedad de seguridad en el java.security archivo de configuración. En esta versión, las herramientas emiten advertencias para el algoritmo hash SHA-1 y las claves RSA / DSA de 1024 bits.

security-libs / org.ietf.jgss: krb5

Soporte para canonicalize en krb5.conf

La bandera ‘canonicalizar’ en el archivo krb5.conf ahora es compatible con la implementación de JDK Kerberos. Cuando se establece en cierto, RFC 6806 Los clientes solicitan la canonicalización de nombres en solicitudes TGT a servicios KDC (protocolo AS). De lo contrario, y por defecto, no se solicita.

El nuevo comportamiento predeterminado es diferente de JDK 14 y versiones anteriores donde los clientes siempre solicitaban la canonicalización de nombres en las solicitudes TGT a los servicios KDC (siempre que el soporte para RFC 6806 no fue explícitamente inhabilitado con el sun.security.krb5.disableReferrals propiedades del sistema o de seguridad).

Funciones y opciones eliminadas

implementar / complemento

El complemento de Java se elimina de JDK 8u para plataformas Linux, Solaris y MacOS

NPAPI se considera un complemento vulnerable y se ha desactivado en muchos navegadores. Actualmente, ningún navegador es compatible con el complemento Java, que está basado en NPAPI, en las plataformas Linux, Solaris y MacOS.

A partir de 8u271, la parte de Java Plugin responsable de la integración e interacción con un navegador (en particular libnpjp2 library) y un artefacto asociado no se creará y no formará parte de la distribución de JRE en las plataformas Linux, Solaris y MacOS.

JDK-8240210 (no público)

Otras notas

core-libs / javax.naming

Propiedad agregada para controlar los mecanismos de autenticación LDAP permitidos para autenticarse a través de conexiones claras

Una propiedad de nuevo entorno,
jdk.jndi.ldap.mechsAllowedToSendCredentials, se ha agregado para controlar qué mecanismos de autenticación LDAP pueden enviar credenciales clear Conexiones LDAP: una conexión no protegida con TLS. Un encrypted La conexión LDAP es una conexión que se abre mediante ldaps esquema, o una conexión abierta usando ldap esquema y luego actualizado a TLS con una operación extendida STARTTLS.

El valor de la propiedad, que no se establece de forma predeterminada, es una lista separada por comas de los nombres de los mecanismos que pueden autenticarse en un clear conexión. Si no se especifica un valor para la propiedad, se permiten todos los mecanismos. Si el valor especificado es una lista vacía, no se permiten mecanismos (excepto para none y anonymous). El valor predeterminado para esta propiedad es ‘nulo’ (es decir System.getProperty("jdk.jndi.ldap.mechsAllowedToSendCredentials") devuelve ‘nulo’). Permitir explícitamente que todos los mecanismos se autentiquen a través de un clear conexión, el valor de la propiedad se puede establecer en "all". Si una conexión se degrada de
encrypted para clear, entonces solo se permiten los mecanismos que están explícitamente permitidos.

La propiedad se puede proporcionar al mapa del entorno de contexto LDAP o establecerse globalmente como una propiedad del sistema. Cuando se proporcionan ambos, el mapa del entorno tiene prioridad.

Nota: none y anonymous Los mecanismos de autenticación están exentos de estas reglas y siempre se permiten independientemente del valor de la propiedad.

JDK-8237990 (no público)

security-libs / java.security

Se agregaron 3 certificados de CA raíz de SSL Corporation

Se han agregado los siguientes certificados raíz al almacén de confianza de cacerts:

+ SSL Corporation
  + sslrootrsaca
    DN: CN=SSL.com Root Certification Authority RSA, O=SSL Corporation, L=Houston, ST=Texas, C=US

  + sslrootevrsaca
    DN: CN=SSL.com EV Root Certification Authority RSA R2, O=SSL Corporation, L=Houston, ST=Texas, C=US

  + sslrooteccca
    DN: CN=SSL.com Root Certification Authority ECC, O=SSL Corporation, L=Houston, ST=Texas, C=US

security-libs / java.security

Se agregó la autoridad de certificación raíz de Entrust: certificado G4

El siguiente certificado raíz se ha agregado al almacén de confianza de cacerts:

+ Entrust
  + entrustrootcag4
    DN: CN=Entrust Root Certification Authority - G4, OU="(c) 2015 Entrust, Inc. - for authorized use only", 
        OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US

Instalar en pc

El instalador de 8u RPM no se pudo instalar en SUSE al actualizar las alternativas

La comunicación con el marco de alternativas del instalador JDK RPM a partir de 8u261 ha cambiado. Los instaladores de JDK RPM de versiones anteriores registraron dos grupos de enlaces simbólicos con un marco alternativo, java y javac. Se duplicaron algunos nombres de enlaces en estos grupos, lo que resultó en fallas de instalación para algunas versiones del marco alternativo. El instalador de JDK RPM que comienza con 8u261 no registra el javac grupo con marco de alternativas. Todos los enlaces exclusivos del javac el grupo se ha movido al java grupo, pero el conjunto de enlaces simbólicos registrados por el instalador no ha cambiado; solo se han eliminado los enlaces duplicados.

La implicación de este cambio es que si se instalan esta versión de JDK y 8u251 o versiones anteriores del JDK y se desinstala la versión anterior, los enlaces simbólicos de la java Se eliminará el grupo administrado por el marco de alternativas. Para restaurar enlaces eliminados, ejecute el comando:

/usr/sbin/alternatives --auto java

JDK-8240919 (no público)

Instalar en pc

[macos] Texto invisible (u oculto) en la ventana del instalador usando el modo oscuro de Mac

Parte del texto en la ventana del instalador está oculto / invisible cuando se usa el modo oscuro en macOS. Para solucionar este problema, cambie al modo Light cuando ejecute el instalador. Este problema debe ser resuelto por JDK-8249683.

core-libs / java.io: serialización

Soporte mejorado de la clase Proxy

La deserialización de java.lang.reflect.Proxy los objetos se pueden limitar estableciendo la propiedad del sistema jdk.serialProxyInterfaceLimit. El límite es el número máximo de interfaces permitidas por proxy en la transmisión. Establecer el límite en cero evita que se deserialicen los Proxies, incluidas las anotaciones, un límite de …

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

11wp bDs68R4qT25CVbyIMw

El premio Netflix: cómo pueden tropezar incluso los líderes de la IA

Declaraciones de impresión y eco de PHP