红帽在其产品中支持选择 OpenJDK 的主要版本。为了实现一致性，这些版本仍与指定为长期支持(LTS)的 Oracle JDK 版本相类似。

从红帽首次推出 OpenJDK 时，红帽最少支持六年。

OpenJDK 17 在 Microsoft Windows 和 Red Hat Enterprise Linux 上被支持，直到 2027 年 11 月为止。

Eclipse Temurin 不包含来自 OpenJDK 上游分发的结构性更改。

有关最新 OpenJDK 17 版本 Eclipse Temurin 中包含的更改和安全修复列表，请参阅 OpenJDK 17.0.4 发行d。

新功能及功能增强

查看以下发行注记以了解 Eclipse Temurin 17.0.4 中包含的新功能和功能改进：

对 Java Generic Security Services (GSS)或 Kerberos 的 HTTPS 频道绑定支持

当 Negotiate 使用 javax.net.HttpsURLConnection 并通过 HTTPS 选择 Kerberos 验证时，OpenJDK 17.0.5 版本支持 TLS 频道绑定令牌。

需要频道绑定令牌，因为中间人(MITM)攻击。频道绑定令牌是一种增强型安全形式，可以缓解某些类型的社交设计攻击。

MITM 通过从客户端与服务器通信来运行。客户端在安全性之间创建一个连接，如 TLS 服务器证书和更高级别的身份验证凭证，如用户名和密码。服务器会检测 MITM 是否表示客户端，因此服务器会关闭连接。

jdk.https。协商。cbt 系统属性控制此功能。请参阅 Misc HTTP URL 流协议处理器属性(Oracle 文档)。

请参阅 JDK-8285240 (JDK 漏洞系统)

在 ProcessBuilder中处理带引号的参数不正确

在 OpenJDK 17.0.5 发行前，在包含双引号标记的 Microsoft Windows 上 process Builder 参数(")是一个反斜杠(\)，然后关闭双引号(")，从而导致 命令失败。例如，Microsoft Windows 上的命令提示符无法正确处理参数 "C:\\Program Files\"，因为参数包含双重引号。

OpenJDK 17.0.5 发行版本通过将包含双引号标记的任何参数恢复到 进程Builder 来解决这个问题。ProcessBuilder 不再对包含反斜杠(\)的参数应用任何特殊处理。

请参阅 JDK-8283137 (JDK 程序漏洞修复系统)。

遇到 IOException 时的默认 JDK compressor 关闭

OpenJDK 17.0.5 版本修改 DeflaterOutputStream.close （） 和 GZIPOutputStream.finish （） 方法。在这个版本中，在向堆栈传播 可浏览 类前，会关闭相关的默认 JDK compressor。

此发行版本还修改 ZIPOutputStream.closeEntry （） 方法。在这个版本中，在将 IOException 消息而不是 ZipException 形式传播到堆栈之前，会关闭相关的默认 JDK compressor。

请参阅 JDK-8278386 (JDK 程序漏洞修复系统)

新的系统属性在 java.io.File中禁用 Microsoft Windows Alternate Data Stream 支持

java.io.File 的 Microsoft Windows 实施默认提供对 NTFS Alternate Data Streams (ADS)的访问。这些流采用 文件名：streamname 格式。OpenJDK 17.0.5 发行版本添加了一个系统属性。使用这个系统属性，您可以通过将系统属性 jdk.io.io.File.enableADS 设置为 false 来禁用 java.io.File 中的 ADS 支持。

请参阅 JDK-8285660 (JDK 程序漏洞修复系统)。

修订 2022-11-12 20:43:01 +1000