A string de versão completa para esta versão de atualização é 11.0.13 + 10 (onde “+” significa “build”). O número da versão é 11.0.13.
As notas de versão completas do Java 11 podem ser encontradas aqui.
IANA Data 2020a
JDK 11.0.13 contém dados de fuso horário IANA 2021a. Para obter mais informações, consulte Versões de dados de fuso horário no software JRE.
Linhas de base de segurança
As linhas de base de segurança para o Java Runtime Environment (JRE) no momento do lançamento do JDK 11.0.13 são especificadas na seguinte tabela:
Versão da família JRE = Linha de base de segurança JRE (string de versão completa)
- 11 = 11.0.13 + 10
- 8 = 8u311-b11
- 7 = 7u321-b08
Mantendo o JDK atualizado
A Oracle recomenda que o JDK seja atualizado com cada atualização de patch crítico. Para determinar se uma versão é a mais recente, a página Linha de base de segurança pode ser usada para determinar qual é a versão mais recente para cada família de versão.
As atualizações críticas de patch, que contêm correções de vulnerabilidade de segurança, são anunciadas com um ano de antecedência em atualizações críticas de patch, alertas de segurança e boletins. Não é recomendado que este JDK (versão 11.0.13) seja usado após a próxima atualização de patch crítica agendada para 18 de janeiro de 2022.
O que há de novo:
security-libs / org.ietf.jgss: krb5
➜ Compatível com MSSFU entre domínios
O suporte para as extensões Kerberos MSSFU [1] agora é estendido para ambientes entre domínios.
Aproveitando o aprimoramento de referências cruzadas do Kerberos introduzido no contexto do JDK-8215032, as extensões ‘S4U2Self’ e ‘S4U2Proxy’ podem ser usadas para representar o usuário e os principais de serviço localizados em diferentes domínios.
security-libs / java.security
➜ Personalização da geração de keystore PKCS12
Novas propriedades de sistema e segurança foram adicionadas para permitir que os usuários personalizem a geração de keystores PKCS # 12. Isso inclui algoritmos e parâmetros para proteção de chave, proteção de certificado e MacData. A explicação detalhada e os valores possíveis para essas propriedades podem ser encontrados na seção “Propriedades do KeyStore PKCS12” do arquivo java.security.
Além disso, o suporte para os seguintes algoritmos HmacPBE baseados em SHA-2 foi adicionado ao provedor SunJCE: HmacPBESHA224, HmacPBESHA256, HmacPBESHA384, HmacPBESHA512, HmacPBESHA512 / 224, HmacPBESHA512 / 256
Recursos e opções removidos
security-libs / java.security
➜ Certificados raiz removidos com chaves de 1024 bits
Os seguintes certificados raiz com chaves públicas RSA fracas de 1024 bits foram removidos do armazenamento de chaves cacerts:
+ nome alternativo “thawtepremiumserverca [jdk]”Nome distinto: [email protected], CN = Thawte Premium Server CA, OU = Certification Services Division, O = Thawte Consulting cc, L = Cape Town, ST = Western Cape, C = ZA + alias name” verisignclass2g2ca [jdk]”Nome distinto: OU = VeriSign Trust Network, OU =” (c) 1998 VeriSign, Inc. – Somente para uso autorizado “, OU = Autoridade de certificação primária pública de Classe 2 – G2, O =” VeriSign, Inc. “, C = US + nome do alias “verisignclass3ca [jdk]”Nome distinto: OU = Autoridade de certificação primária pública de classe 3, O =” VeriSign, Inc. “, C = US + nome do alias” verisignclass3g2ca [jdk]”Nome distinto: OU = VeriSign Trust Network, OU =” (c) 1998 VeriSign, Inc. – Somente para uso autorizado “, OU = Autoridade de certificação primária pública de Classe 3 – G2, O =” VeriSign, Inc. “, C = US + nome alternativo “verisigntsaca [jdk]”Nome distinto: CN = Thawte Timestamping CA, OU = Thawte Certification, O = Thawte, L = Durbanville, ST = Western Cape, C = ZA
Notas de lançamento anteriores
security-libs / java.security
➜ Opção -groupname adicionada à keytool Key Pair Generation
Uma nova opção -groupname foi adicionada a keytool -genkeypair para que um usuário possa especificar um grupo nomeado ao gerar um par de chaves. Por exemplo, keytool -genkeypair -keyalg EC -groupname secp384r1 gerará um par de chaves EC usando a curva secp384r1. Como pode haver várias curvas com o mesmo tamanho, é preferível usar a opção -groupname em vez da opção -keysize.
security-libs / javax.net.ssl
➜ Suporte para extensão certificate_authorities
A extensão “certificate_authorities” é uma extensão opcional introduzida no TLS 1.3. É usado para indicar as autoridades de certificação (CAs) que um terminal oferece suporte e deve ser usado pelo terminal de recebimento para orientar a seleção do certificado.
Com este lançamento JDK, a extensão “certificate_authorities” é compatível com o TLS 1.3 tanto no cliente quanto no servidor. Esta extensão está sempre presente para seleção de certificado de cliente, enquanto é opcional para seleção de certificado de servidor.
Os aplicativos podem habilitar essa extensão para seleção de certificado de servidor configurando a propriedade de sistema jdk.tls.client.enableCAExtension como true. O valor padrão da propriedade é falso.
Observe que se o cliente confiar em mais CAs do que o limite de tamanho da extensão (menos de 2 ^ 16 bytes), a extensão não será habilitada. Além disso, algumas implementações de servidor não permitem que as mensagens de handshake excedam 2 ^ 14 bytes. Consequentemente, pode haver problemas de interoperabilidade quando jdk.tls.client.enableCAExtension é definido como true e o cliente confia em mais CAs do que o limite de implementação do servidor.
core-libs / java.lang
➜ Opção POSIX_SPAWN no Linux
Como forma adicional de iniciar processos no Linux, a propriedade jdk.lang.Process.launchMechanism pode ser definida como POSIX_SPAWN. Esta opção está disponível há muito tempo em outras plataformas * nix. O mecanismo de inicialização padrão (VFORK) no Linux não foi alterado, portanto, esta opção adicional não afeta as instalações existentes.
POSIX_SPAWN mitiga casos patológicos raros ao gerar processos filho, mas ainda não foi excessivamente testado. A prudência é aconselhada ao usar POSIX_SPAWN em instalações produtivas.
security-libs / javax.net.ssl
➜ Suporte para X25519 e X448 em TLS
Os grupos de curva elíptica nomeados x25519 e x448 agora estão disponíveis para acordo de chave JSSE nas versões TLS 1.0 a 1.3, com x25519 sendo o mais preferido dos grupos nomeados habilitados por padrão. A lista ordenada padrão agora é:
x25519, secp256r1, secp384r1, secp521r1, x448, ffdhe2048, ffdhe3072, ffdhe4096, ffdhe6144, ffdhe8192
A lista padrão pode ser substituída usando a propriedade de sistema jdk.tls.namedGroups.
security-libs / java.security
➜ jarsigner preserva permissão de arquivo POSIX e atributos de link simbólico
Ao assinar um arquivo que contém permissão de arquivo POSIX ou atributos de link simbólico, o jarsigner agora preserva esses atributos no arquivo recém-assinado, mas avisa que esses atributos não têm assinatura e não são protegidos pela assinatura. O mesmo aviso é impresso durante a operação jarsigner -verify para tais arquivos.
Observe que a ferramenta jar não lê / grava esses atributos. Essa mudança é mais visível para ferramentas como descompactar, onde esses atributos são preservados.
client-libs / 2d
➜ Oracle JDK11u para Solaris agora requer a instalação do harfbuzz
O Oracle JDK-11.0.10 e posterior para Solaris 11 requer que o sistema operacional forneça o pacote library / desktop / harfbuzz como parte da instalação do sistema. Este pacote é fornecido para Solaris 11.3 e posterior.
$ pkg info harfbuzz Nome: library / desktop / harfbuzz Resumo: HarfBuzz é um mecanismo de modelagem de texto OpenType Descrição: HarfBuzz é uma biblioteca para modelagem de texto, que converte texto unicode em índices e posições de glifo. O HarfBuzz é usado diretamente por bibliotecas como Pango e pelos mecanismos de layout do Firefox. Categoria: Desktop (GNOME) / Bibliotecas Estado: Editor instalado: solaris
Esta é uma biblioteca de desktop, mas o processamento de fontes que faz é parte de algumas cargas de trabalho comuns do servidor de back-end. Deve sempre ser considerado como necessário.
Se essa biblioteca estiver faltando, o mecanismo de pacote a exigirá durante a instalação do JDK. Se instalar o JDK usando um pacote tar.gz (por exemplo) e o pacote library / desktop / harfbuzz estiver ausente, ocorrerá uma falha no link de tempo de execução quando este pacote for necessário.
JDK-8251907 (não público)
core-libs / java.time
➜ Dados de fuso horário JDK atualizados para tzdata2020d
A atualização JDK incorpora tzdata2020d. A principal mudança é
A Palestina termina o horário de verão antes do previsto, em 24/10/2020.
Consulte https://mm.icann.org/pipermail/tz-announce/2020-October/000062.html para obter mais informações.
core-libs / java.time
➜ Dados de fuso horário JDK atualizados para tzdata2020c
A atualização JDK incorpora tzdata2020c. A principal mudança é
Fiji começa o horário de verão mais tarde do que o normal, em 2020-12-20.
Consulte https://mm.icann.org/pipermail/tz-announce/2020-October/000060.html para obter mais informações.
core-libs / java.time
➜ US / Pacific-New Zone Name Removido como parte de tzdata2020b
Seguindo a atualização do JDK para tzdata2020b, os arquivos obsoletos chamados pacificnew e systemv foram removidos. Como resultado, o nome da zona “US / Pacific-New” declarado no arquivo de dados pacificnew não está mais disponível para uso.
As informações sobre essa atualização podem ser visualizadas em https://mm.icann.org/pipermail/tz-announce/2020-October/000059.html.
Correções de bugs
- Esta versão também contém correções para vulnerabilidades de segurança descritas no Oracle Critical Patch Update. Para obter uma lista mais completa das correções de bugs incluídas nesta versão, consulte a página Correções de bugs do JDK 11.0.10.
security-libs / java.security
➜ Curvas nomeadas fracas em TLS, CertPath e JAR assinado desativadas por padrão
- Curvas nomeadas fracas são desabilitadas por padrão, adicionando-as às seguintes propriedades de segurança disabledAlgorithms: jdk.tls.disabledAlgorithms, jdk.certpath.disabledAlgorithms e jdk.jar.disabledAlgorithms. As curvas nomeadas estão listadas abaixo.
- Com 47 curvas nomeadas fracas a serem desabilitadas, adicionar curvas nomeadas individuais a cada propriedade disabledAlgorithms seria opressor. Para aliviar isso, uma nova propriedade de segurança, jdk.disabled.namedCurves, é implementada e pode listar as curvas nomeadas comuns a todas as propriedades disabledAlgorithms. Para usar a nova propriedade nas propriedades disabledAlgorithms, preceda o nome completo da propriedade com a palavra-chave include. Os usuários ainda podem adicionar curvas nomeadas individuais às propriedades disabledAlgorithms separadas desta nova propriedade. Nenhuma outra propriedade pode ser incluída nas propriedades disabledAlgorithms.
- Para restaurar as curvas nomeadas, remova include jdk.disabled.namedCurves das propriedades de segurança específicas ou de todas disabledAlgorithms. Para restaurar uma ou mais curvas, remova as curvas nomeadas específicas da propriedade jdk.disabled.namedCurves.
- Curvas que estão desativados através jdk.disabled.namedCurves incluem o seguinte: secp112r1, secp112r2, secp128r1, secp128r2, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1, sect113r1, sect113r2, sect131r1, sect131r2, sect163k1, sect163r1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, X9.62 c2tnb191v1, X9.62 c2tnb191v2, X9.62 c2tnb191v3, X9.62 c2tnb239v1, X9.62 c2tnb239v2, X9 .62 c2tnb239v3, X9.62 c2tnb359v1, X9.62 c2tnb431r1, X9.62 prime192v2, X9.62 prime192v3, X9.62 prime239v1, X9.62 prime239v2, X9.62 prime239v3, brainPpool1P256r1
- As curvas que permanecem ativadas são: secp256r1, secp384r1, secp521r1, X25519, X448. Consulte JDK-8233228
security-libs / org.ietf.jgss: krb5
➜ Suporte para referências entre domínios Kerberos (RFC 6806)
- O cliente Kerberos foi aprimorado com o suporte de canonização do nome principal e referências entre domínios, conforme definido pela extensão do protocolo RFC 6806.
- Como resultado desse novo recurso, o cliente Kerberos pode tirar proveito de configurações de ambiente mais dinâmicas e não precisa necessariamente saber (com antecedência) como chegar ao domínio de um principal de destino (usuário ou serviço).
- O suporte é habilitado por padrão e 5 é o número máximo de saltos de referência permitidos. Para desativá-lo, defina a segurança sun.security.krb5.disableReferrals ou a propriedade do sistema como false. Para configurar um número máximo personalizado de saltos de referência, defina a segurança sun.security.krb5.maxReferrals ou a propriedade do sistema para qualquer valor positivo.
Versões prévias: