第2章 Eclipse Temurin の機能
Eclipse Temurin には、OpenJDK のアップストリームディストリビューションの構造の変更は含まれません。
Eclipse Temurin の最新の OpenJDK 8 リリースに含まれる変更およびセキュリティー修正の一覧は、OpenJDK 8u362 Released を参照してください。
新機能および拡張された機能
次のリリースノートを確認して、Eclipse Temurin 8.0.362 リリースに含まれる新機能と機能拡張を理解してください。
CORBA 通信の改善
デフォルトでは、OpenJDK 8.0.362 の CORBA 実装は、IOR: 接頭辞を含まないオブジェクトのデシリアライズを拒否します。
以前の動作に戻したい場合は、新しい com.sun.CORBA.ORBAllowDeserializeObject プロパティーを true に設定できます。
JDK-8285021 (JDK Bug System) を参照してください。
強化された BMP 境界
デフォルトでは、OpenJDK 8.0.362 はリンクされた International Color Consortium (ICC) プロファイルを BMP イメージにロードすることを無効にします。この機能を有効にするには、新しい sun.imageio.bmp.enabledLinkedProfiles プロパティーを true に設定します。このプロパティーは、古い sun.imageio.plugins.bmp.disableLinkedProfiles プロパティーを置き換えます。
JDK-8295687 (JDK Bug System) を参照してください。
サウンドのバンキングの改善
以前は、SoundbankReader 実装 com.sun.media.sound.JARSoundbankReader が URL から JAR サウンドバンクをダウンロードしていました。OpenJDK 8.0.362 では、この動作はデフォルトで無効になりました。この動作を再度有効にするには、新しいシステムプロパティー jdk.sound.jarsoundbank を true に設定します。
JDK-8293742 (JDK Bug System) を参照してください。
Microsoft Windows 11 の OpenJDK サポート
OpenJDK 8.0.362 は、Microsoft Windows 11 オペレーティングシステムを認識できるようになり、os.name プロパティーを Windows 11 に設定できるようになりました。
JDK-8274840 (JDK Bug System) を参照してください。
SHA-1 署名 JAR
OpenJDK 8.0.362 リリースでは、SHA-1 アルゴリズムで署名された JAR はデフォルトで制限され、署名されていないかのように扱われます。これらの制限は、次のアルゴリズムに適用されます。
- ダイジェスト、署名、およびオプションで JAR のタイムスタンプに使用されるアルゴリズム。
- コード署名者とタイムスタンプ機関の証明書チェーン内の証明書の署名アルゴリズムとダイジェストアルゴリズム、およびそれらの証明書が失効しているかどうかを確認するために使用される証明書失効リスト (CRL) またはオンライン証明書ステータスプロトコル (OCSP) 応答。
さらに、制限は署名済みの Java Cryptography Extension (JCE) プロバイダーにも適用されます。
以前にタイムスタンプが付けられた JAR の互換性リスクを軽減するために、この制限は、SHA-1 アルゴリズムで署名され、January 01, 2019 より前にタイムスタンプが付けられた JAR には適用されません。この例外は、将来の OpenJDK リリースで削除される可能性があります。
JAR ファイルが制限の影響を受けるかどうかを判断するには、CLI で次のコマンドを発行します。
$ jarsigner -verify -verbose -certs
前のコマンドの出力から、SHA1、SHA-1、または disabled のインスタンスを検索します。さらに、JAR が署名なしとして扱われることを示す警告メッセージを検索します。以下に例を示します。
Signed by "CN="Signer"" Digest algorithm: SHA-1 (disabled) Signature algorithm: SHA1withRSA (disabled), 2048-bit key WARNING: The jar will be treated as unsigned, because it is signed with a weak algorithm that is now disabled by the security property: jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024, DSA keySize < 1024, SHA1 denyAfter 2019-01-01
新しい制限の影響を受けるすべての JAR をより強力なアルゴリズムに置き換えるか、再署名することを検討してください。
JAR ファイルがこの制限の影響を受ける場合は、アルゴリズムを削除して、SHA-256 などのより強力なアルゴリズムでファイルに再署名できます。OpenJDK 8.0.362 の SHA-1 署名付き JAR に対する制限を削除する必要があり、セキュリティーリスクを受け入れる場合は、次のアクションを実行できます。
-
java.security設定ファイルを変更します。または、このファイルを保存して、必要な設定で別のファイルを作成することもできます。 -
SHA1 usage SignedJAR & denyAfter 2019 01 011エントリーをjdk.certpath.disabledAlgorithmsセキュリティープロパティーから削除します。 -
jdk.jar.disabledAlgorithmsセキュリティープロパティーからSHA1 denyAfter 2019-01-01エントリーを削除します。
java.security ファイルの jdk.certpath.disabledAlgorithms の値は、RHEL 8 および 9 のシステムセキュリティーポリシーによって上書きされる場合があります。システムセキュリティーポリシーで使用される値は、ファイル /etc/crypto-policies/back-ends/java.config で確認でき、java.security ファイルで security.useSystemPropertiesFile を false に設定するか、-Djava.security.disableSystemPropertiesFile=true を JVM 渡すことで無効にします。これらの値はこのリリースでは変更されていないため、値は OpenJDK の以前のリリースと同じままです。
java.security ファイルの設定例については、JBoss EAP for OpenShift の java.security プロパティーのオーバーライド (Red Hat カスタマーポータル) を参照してください。
JDK-8269039 (JDK バグシステム) を参照してください。
改訂日時: 2023-04-08