PC & Périphériques News

Télécharger Java SE JDK 11.0.13

0
Java
infosprixBy

[ad_1]

La chaîne de version complète pour cette version de mise à jour est 11.0.13+10 (où « + » signifie « build »). Le numéro de version est 11.0.13.

Les notes de version complètes pour Java 11 peuvent être trouvées ici.

Données IANA 2020a

Le JDK 11.0.13 contient les données de fuseau horaire IANA 2021a. Pour plus d’informations, reportez-vous à Versions des données de fuseau horaire dans le Logiciel JRE.

Références de sécurité

Les références de sécurité pour l’environnement d’exécution Java (JRE) au moment de la publication du JDK 11.0.13 sont spécifiées dans le tableau suivant :

Version de la famille JRE = ligne de base de sécurité JRE (chaîne de version complète)

  • 11 = 11.0.13+10
  • 8 = 8u311-b11
  • 7 = 7u321-b08

Maintenir le JDK à jour

Oracle recommande que le JDK soit mis à jour avec chaque mise à jour de correctif critique. Afin de déterminer si une version est la plus récente, la page Security Baseline peut être utilisée pour déterminer quelle est la dernière version pour chaque famille de versions.

Les mises à jour de correctifs critiques, qui contiennent des correctifs de vulnérabilités de sécurité, sont annoncées un an à l’avance sur les mises à jour de correctifs critiques, les alertes de sécurité et les bulletins. Il n’est pas recommandé d’utiliser ce JDK (version 11.0.13) après la prochaine mise à jour de correctif critique prévue pour le 18 janvier 2022.

Quoi de neuf:

security-libs/org.ietf.jgss:krb5

Prise en charge de MSSFU inter-domaines

La prise en charge des extensions Kerberos MSSFU [1] est maintenant étendu aux environnements inter-domaines.

En tirant parti de l’amélioration des références inter-domaines Kerberos introduite dans le contexte de JDK-8215032, les extensions « S4U2Self » et « S4U2Proxy » peuvent être utilisées pour usurper l’identité des utilisateurs et des principaux de service situés sur des domaines différents.

security-libs/java.security

Personnalisation de la génération de keystore PKCS12

De nouvelles propriétés système et de sécurité ont été ajoutées pour permettre aux utilisateurs de personnaliser la génération des magasins de clés PKCS #12. Cela inclut des algorithmes et des paramètres pour la protection des clés, la protection des certificats et MacData. L’explication détaillée et les valeurs possibles pour ces propriétés se trouvent dans la section « PKCS12 KeyStore properties » du fichier java.security.

En outre, la prise en charge des algorithmes HmacPBE basés sur SHA-2 suivants a été ajoutée au fournisseur SunJCE : HmacPBESHA224, HmacPBESHA256, HmacPBESHA384, HmacPBESHA512, HmacPBESHA512/224, HmacPBESHA512/256

Fonctionnalités et options supprimées

security-libs/java.security

➜ Suppression des certificats racine avec des clés 1024 bits

Les certificats racines suivants avec des clés publiques RSA 1024 bits faibles ont été supprimés du magasin de clés cacerts :

+ nom d’alias « thawtepremiumserverca [jdk] » Nom distinctif : EMAILADDRESS=premium-server@thawte.com, CN=Thawte Premium Server CA, OU=Certification Services Division, O=Thawte Consulting cc, L=Cape Town, ST=Western Cape, C=ZA + nom d’alias  » verisignclass2g2ca [jdk] » Nom distinctif : OU=VeriSign Trust Network, OU= »(c) 1998 VeriSign, Inc. – Pour usage autorisé uniquement », OU= Autorité de certification primaire publique de classe 2 – G2, O= »VeriSign, Inc. », C= US + nom d’alias « verisignclass3ca [jdk] » Nom distinctif : OU=Autorité de certification primaire publique de classe 3, O= »VeriSign, Inc. », C=US + nom d’alias « verisignclass3g2ca [jdk] » Nom distinctif : OU=VeriSign Trust Network, OU= »(c) 1998 VeriSign, Inc. – Pour usage autorisé uniquement », OU= Autorité de certification primaire publique de classe 3 – G2, O= »VeriSign, Inc. », C= US + nom d’alias « verisigntsaca [jdk] » Nom distinctif : CN=Thawte Timestamping CA, OU=Thawte Certification, O=Thawte, L=Durbanville, ST=Western Cape, C=ZA

Notes de version précédentes

security-libs/java.security

➜ Option -groupname ajoutée à keytool Génération de paires de clés

Une nouvelle option -groupname a été ajoutée à keytool -genkeypair afin qu’un utilisateur puisse spécifier un groupe nommé lors de la génération d’une paire de clés. Par exemple, keytool -genkeypair -keyalg EC -groupname secp384r1 générera une paire de clés EC en utilisant la courbe secp384r1. Comme il peut y avoir plusieurs courbes de la même taille, l’utilisation de l’option -groupname est préférable à l’option -keysize.

security-libs/javax.net.ssl

Prise en charge de l’extension certificate_authorities

L’extension « certificate_authorities » est une extension facultative introduite dans TLS 1.3. Il est utilisé pour indiquer les autorités de certification (CA) qu’un point d’extrémité prend en charge et doit être utilisé par le point d’extrémité récepteur pour guider la sélection du certificat.

Avec cette version JDK, l’extension « certificate_authorities » est prise en charge pour TLS 1.3 à la fois côté client et côté serveur. Cette extension est toujours présente pour la sélection du certificat client, alors qu’elle est facultative pour la sélection du certificat serveur.

Les applications peuvent activer cette extension pour la sélection du certificat de serveur en définissant la propriété système jdk.tls.client.enableCAExtension sur true. La valeur par défaut de la propriété est false.

Notez que si le client fait confiance à plus d’autorités de certification que la taille limite de l’extension (moins de 2^16 octets), l’extension n’est pas activée. De plus, certaines implémentations de serveur n’autorisent pas les messages d’établissement de liaison à dépasser 2^14 octets. Par conséquent, il peut y avoir des problèmes d’interopérabilité lorsque jdk.tls.client.enableCAExtension est défini sur true et que le client fait confiance à plus d’autorités de certification que la limite d’implémentation du serveur.

core-libs/java.lang

➜ Option POSIX_SPAWN sous Linux

Comme moyen supplémentaire de lancer des processus sous Linux, la propriété jdk.lang.Process.launchMechanism peut être définie sur POSIX_SPAWN. Cette option est disponible depuis longtemps sur d’autres plateformes *nix. Le mécanisme de lancement par défaut (VFORK) sous Linux est inchangé, cette option supplémentaire n’affecte donc pas les installations existantes.

POSIX_SPAWN atténue les rares cas pathologiques lors de la génération de processus enfants, mais il n’a pas encore été excessivement testé. La prudence est recommandée lors de l’utilisation de POSIX_SPAWN dans des installations productives.

security-libs/javax.net.ssl

➜ Prise en charge de X25519 et X448 en TLS

Les groupes de courbes elliptiques nommés x25519 et x448 sont désormais disponibles pour l’accord de clé JSSE dans les versions TLS 1.0 à 1.3, x25519 étant le plus préféré des groupes nommés activés par défaut. La liste ordonnée par défaut est maintenant :

x25519, secp256r1, secp384r1, secp521r1, x448, ffdhe2048, ffdhe3072, ffdhe4096, ffdhe6144, ffdhe8192

La liste par défaut peut être remplacée à l’aide de la propriété système jdk.tls.namedGroups.

security-libs/java.security

jarsigner préserve l’autorisation de fichier POSIX et les attributs de lien symbolique

Lors de la signature d’un fichier contenant une autorisation de fichier POSIX ou des attributs de lien symbolique, jarsigner conserve désormais ces attributs dans le fichier nouvellement signé, mais avertit que ces attributs ne sont pas signés et ne sont pas protégés par la signature. Le même avertissement est affiché pendant l’opération jarsigner -verify pour de tels fichiers.

Notez que l’outil jar ne lit/écrit pas ces attributs. Ce changement est plus visible pour les outils comme unzip où ces attributs sont conservés.

client-libs/2d

➜ Oracle JDK11u pour Solaris nécessite désormais l’installation de harfbuzz

Oracle JDK-11.0.10 et versions ultérieures pour Solaris 11 nécessitent que le système d’exploitation fournisse le package library/desktop/harfbuzz dans le cadre de l’installation du système. Ce package est fourni pour Solaris 11.3 et versions ultérieures.

$ pkg info harfbuzz Nom : library/desktop/harfbuzz Résumé : HarfBuzz est un moteur de mise en forme de texte OpenType Description : HarfBuzz est une bibliothèque de mise en forme de texte, qui convertit le texte Unicode en index et positions de glyphes. HarfBuzz est utilisé directement par les bibliothèques telles que Pango et les moteurs de mise en page de firefox. Catégorie : Desktop (GNOME)/Bibliothèques État : Installé Editeur : solaris

Il s’agit d’une bibliothèque de bureau, mais le traitement des polices qu’elle effectue fait partie de certaines charges de travail courantes du serveur principal. Il doit toujours être considéré comme nécessaire.

Si cette bibliothèque est manquante, le mécanisme pkg l’exigera lors de l’installation du JDK. Si vous installez le JDK à l’aide d’un bundle tar.gz (par exemple) et que le package library/desktop/harfbuzz est manquant, un échec du lien d’exécution se produira lorsque ce package est nécessaire.

JDK-8251907 (non public)

core-libs/java.time

➜ Données de fuseau horaire JDK mises à niveau vers tzdata2020d

La mise à jour JDK intègre tzdata2020d. Le principal changement est

La Palestine met fin à l’heure d’été plus tôt que prévu, le 2020-10-24.

Veuillez vous référer à https://mm.icann.org/pipermail/tz-announce/2020-October/000062.html pour plus d’informations.

core-libs/java.time

➜ Données de fuseau horaire JDK mises à niveau vers tzdata2020c

La mise à jour JDK intègre tzdata2020c. Le principal changement est

Les Fidji commencent l’heure d’été plus tard que d’habitude, le 2020-12-20.

Veuillez vous référer à https://mm.icann.org/pipermail/tz-announce/2020-October/000060.html pour plus d’informations.

core-libs/java.time

➜ États-Unis/Pacifique-Nouveau nom de zone supprimé dans le cadre de tzdata2020b

Suite à la mise à jour du JDK vers tzdata2020b, les fichiers obsolètes nommés pacificnew et systemv ont été supprimés. Par conséquent, le nom de la zone « US/Pacific-New » déclaré dans le fichier de données pacificnew n’est plus utilisable.

Les informations concernant cette mise à jour peuvent être consultées sur https://mm.icann.org/pipermail/tz-announce/2020-October/000059.html.

Corrections de bugs

  • Cette version contient également des correctifs pour les vulnérabilités de sécurité décrites dans Oracle Critical Patch Update. Pour une liste plus complète des corrections de bogues incluses dans cette version, consultez le Page JDK 11.0.10 Corrections de bogues.

security-libs/java.security

➜ Courbes nommées faibles dans TLS, CertPath et JAR signé désactivées par défaut

  • Les courbes nommées faibles sont désactivées par défaut en les ajoutant aux propriétés de sécurité disabledAlgorithms suivantes : jdk.tls.disabledAlgorithms, jdk.certpath.disabledAlgorithms et jdk.jar.disabledAlgorithms. Les courbes nommées sont répertoriées ci-dessous.
  • Avec 47 courbes nommées faibles à désactiver, l’ajout de courbes nommées individuelles à chaque propriété disabledAlgorithms serait écrasant. Pour remédier à cela, une nouvelle propriété de sécurité, jdk.disabled.namedCurves, est implémentée et peut répertorier les courbes nommées communes à toutes les propriétés disabledAlgorithms. Pour utiliser la nouvelle propriété dans les propriétés disabledAlgorithms, faites précéder le nom complet de la propriété du mot clé include. Les utilisateurs peuvent toujours ajouter des courbes nommées individuelles aux propriétés disabledAlgorithms séparément de cette nouvelle propriété. Aucune autre propriété ne peut être incluse dans les propriétés disabledAlgorithms.
  • Pour restaurer les courbes nommées, supprimez l’inclusion jdk.disabled.namedCurves des propriétés de sécurité spécifiques ou de toutes les propriétés de sécurité disabledAlgorithms. Pour restaurer une ou plusieurs courbes, supprimez la ou les courbes nommées spécifiques de la propriété jdk.disabled.namedCurves.
  • Les courbes qui sont désactivées via jdk.disabled.namedCurves sont les suivantes : secp112r1, secp112r2, secp128r1, secp128r2, secp160k1, secp160r1, secp160r2, secp192k1, secp192r1, secp224k1, secp224r1, secp256k1, sectrl2, sect131, sectrl1, sectr1, sect131, sectr1, sect163r2, sect193r1, sect193r2, sect233k1, sect233r1, sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, X9.62 c2tnb191v1, X9.62 c2tnb191v2, X9.62 c219.96. .62 c2tnb239v3, X9.62 c2tnb359v1, X9.62 c2tnb431r1, X9.62 prime192v2, X9.62 prime192v3, X9.62 prime239v1, X9.62 prime239v2, X9.62 prime239v3, brainpoolP256r1, brainpoolP320r1, brainpoolP5124r1r1, brainpoolP5124r1r1,
  • Les courbes qui restent activées sont : secp256r1, secp384r1, secp521r1, X25519, X448. Voir JDK-8233228

security-libs/org.ietf.jgss:krb5

➜ Prise en charge des références Kerberos inter-domaines (RFC 6806)

  • Le client Kerberos a été amélioré avec la prise en charge de la canonisation du nom principal et des références inter-domaines, telles que définies par l’extension de protocole RFC 6806.
  • Grâce à cette nouvelle fonctionnalité, le client Kerberos peut profiter de configurations d’environnement plus dynamiques et n’a pas nécessairement besoin de savoir (à l’avance) comment atteindre le domaine d’un principal cible (utilisateur ou service).
  • La prise en charge est activée par défaut et 5 est le nombre maximal de sauts de référence autorisés. Pour le désactiver, définissez la propriété de sécurité ou de système sun.security.krb5.disableReferrals sur false. Pour configurer un nombre maximal personnalisé de sauts de référence, définissez la propriété de sécurité ou de système sun.security.krb5.maxReferrals sur n’importe quelle valeur positive.

Versions précédentes:

[ad_2]

Source link

Previous
Next

You may also like

Leave a reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

More in:PC & Périphériques News