Télécharger Java MSI.
Java logo 512×512 for Microsoft EndPoint Configuration Manager (SCCM / MECM / MEMCM) déploiements:
Java 8.0.2710.9
IANA DATA 2020A
JDK 8U271 contient les données du fuseau horaire IANA version 2020a. Pour plus d'informations, se référer à Versions de données sur le onzone dans le logiciel JRE.
Bâlines de sécurité
Les lignes de base de sécurité pour l'environnement d'exécution Java (Jre) Au moment de la publication de JDK 8U271, sont spécifiés dans le tableau suivant:
| Version de la famille JRE | JREE Sécurité Baseline (Chaîne de version complète) |
|---|---|
| 8 | 1.8.0_271-b09 |
| 7 | 1.7.0_281-b06 |
Garder le JDK à jour
Oracle recommande que le JDK soit mis à jour avec chaque mise à jour de patch critique (CPU). Afin de déterminer si une version est la dernière, La page de base de sécurité suivante peut être utilisée pour déterminer quelle est la dernière version pour chaque famille de versions.
Critical patch updates, qui contiennent des correctifs de vulnérabilité de sécurité, sont annoncés un an à l'avance sur Critical Patch Updates, Alertes de sécurité et bulletins. Il n'est pas recommandé que ce jdk (Version 8U271) être utilisé après la prochaine mise à jour de patch critique prévue pour janvier 19, 2021.
Abonnement Java SE Les clients gérant les mises à jour / installations JRE pour un grand nombre de bureaux devraient envisager d'utiliser Console de gestion avancée Java (AMC).
Pour les systèmes incapables d'atteindre les serveurs Oracle, Un mécanisme secondaire expire ce jre (Version 8U271) en février 20, 2021. Une fois l'une ou l'autre condition remplie (Nouvelle version devenant disponible ou date d'expiration atteinte), Le JRE fournira des avertissements et des rappels supplémentaires aux utilisateurs pour mettre à jour la nouvelle version. Pour plus d'informations, voir 23.1.2 Date d'expiration JRE dans le Plate-forme Java, Guide de déploiement de l'édition standard.
Nouvelles fonctionnalités
Courbes faibles nommés dans TLS, Certpath, et le pot signé handicapé par défaut
Les courbes nommées faibles sont désactivées par défaut en les ajoutant à ce qui suit disabledAlgorithms Propriétés de sécurité: jdk.tls.disabledAlgorithms, jdk.certpath.disabledAlgorithms, et jdk.jar.disabledAlgorithms. Les courbes nommées sont répertoriées ci-dessous.
Avec 47 Courbes nommées faibles à désactiver, ajoutant des courbes nommées individuelles à chacun disabledAlgorithms la propriété serait écrasante. Pour soulager cela, une nouvelle propriété de sécurité, jdk.disabled.namedCurves, est implémenté qui peut énumérer les courbes nommées communes à tous les disabledAlgorithms propriétés. Pour utiliser la nouvelle propriété dans le disabledAlgorithms propriétés, précéder le nom complet de la propriété avec le mot-clé include. Les utilisateurs peuvent toujours ajouter des courbes nommées individuelles à disabledAlgorithms propriétés séparées de cette nouvelle propriété. Aucune autre propriété ne peut être incluse dans le disabledAlgorithms propriétés.
Pour restaurer les courbes nommées, supprimer le include jdk.disabled.namedCurves Soit de spécifiques ou de tous disabledAlgorithms Propriétés de sécurité. Pour restaurer une ou plusieurs courbes, Retirez la courbe nommée spécifique(s) from the jdk.disabled.namedCurves propriété.
Courbes désactivées à travers jdk.disabled.namedCurves Inclure ce qui suit: Secp112r1, secp112r2, SECP128R1, SECP128R2, SECP160K1, SECP160R1, SECP160R2, SECP192K1, SECP192R1, SECP224K1, SECP224R1, SECP256K1, sect113r1, Sect113r2, secte131r1, secte131r2, sect163k1, Sect163R1, Sect163R2, Sect193R1, Sec193r2, Sect233k1, Sect233r1, Sect239k1, sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, X9,62 C2TNBB191V1, X9,62 C2TNB191V2, X9,62 C2TNB191V3, X9,62 C2TN2239V1, X9,62 C2TNB239V2, X9,62 C2TNB239V3, X9,62 C2TNB359V1, X9,62 C2TNB431R1, X9,62 prime192v2, X9,62 prime192v3, X9,62 prime239v1, X9,62 prime239v2, X9,62 prime239v3, Brainpoolp256R1, Brainpoolp320r1, Brainpoolp384R1, Brainpoolp512R1
Les courbes qui restent activées sont: SECP256R1, secp384r1, SECP521R1, X25519,
Prise en charge des références Kerberos Cross-Realm (RFC 6806)
Le client Kerberos a été amélioré avec le soutien du nom principal canonicalisation et des références croisées, comme défini par la RFC 6806 extension de protocole.
À la suite de cette nouvelle fonctionnalité, Le client de Kerberos peut profiter de configurations d'environnement plus dynamiques et n'a pas nécessairement besoin de savoir (à l'avance) Comment atteindre le domaine d'un directeur cible (utilisateur ou service).
La prise en charge est activée par défaut et 5 Le nombre maximum de houblon de référence est-il autorisé. Pour l'éteindre, définir sun.security.krb5.disableReferrals Sécurité ou propriété système à false. Pour configurer un nombre maximum personnalisé de houblon de référence, définir sun.security.krb5.maxReferrals Sécurité ou propriété système à toute valeur positive.
Improve Certificate Chain Handling
Une nouvelle propriété système, jdk.tls.maxHandshakeMessageSize, a été ajouté pour définir la taille maximale autorisée pour le message de poignée de main dans la prise de main TLS / DTLS. La valeur par défaut de la propriété système est 32768 (32 kilobytes).
Une nouvelle propriété système, jdk.tls.maxCertificateChainLength, has been added to set the maximum allowed length of the certificate chain in TLS/DTLS handshaking. La valeur par défaut de la propriété système est 10.
Les outils mettent en garde si des algorithmes faibles sont utilisés
Le keytool et jarsigner Des outils ont été mis à jour pour avertir les utilisateurs lorsque des algorithmes cryptographiques faibles sont utilisés dans les clés, certificats, et des pots signés avant d'être handicapés. Les algorithmes faibles sont définis dans le jdk.security.legacyAlgorithms propriété de sécurité dans le java.security fichier de configuration. Dans cette version, Les outils émettent des avertissements pour l'algorithme de hachage SHA-1 et les clés RSA / DSA 1024 bits.
Prise en charge de Canonicalize dans KRB5.Conf
The ‘canonicalize’ flag in the fichier krb5.conf est maintenant soutenu par l'implémentation JDK Kerberos. Lorsqu'il est réglé sur vrai, RFC 6806 Nom Canonicalisation est demandé par les clients dans les demandes de TGT aux services KDC (Comme protocole). Otherwise, et par défaut, il n'est pas demandé.
Le nouveau comportement par défaut est différent de JDK 14 et les versions précédentes où le nom Canonicalisation a toujours été demandé par les clients dans les demandes de TGT aux services KDC (à condition que le soutien à RFC 6806 n'était pas explicitement désactivé avec le Sun.Security.krb5 Propriétés système ou de sécurité).
Suppression des fonctionnalités et des options
Le plugin Java est supprimé de JDK 8U pour Linux, Solaris, and MacOS Platforms
NPAPI est considéré comme un plugin vulnérable et a été désactivé dans de nombreux navigateurs. Aucun navigateur ne prend actuellement en charge le plugin Java, qui est basé sur NPAPI, sur Linux, Solaris, and MacOS platforms.
À partir de 8U271, La partie du plugin Java responsable de l'intégration et de l'interaction avec un navigateur (in particular libnpjp2 bibliothèque) et un artefact associé ne sera pas construit et ne fait pas partie de la distribution JRE sur Linux, Solaris, and MacOS platforms.
Autres notes
Propriété ajoutée pour contrôler les mécanismes d'authentification LDAP autorisés à s'authentifier sur des connexions claires
Une nouvelle propriété environnementale, jdk.jndi.ldap.mechsAllowedToSendCredentials, a été ajouté pour contrôler quels mécanismes d'authentification LDAP sont autorisés à envoyer des informations d'identification clear LDAP connections – a connection not secured with TLS. Un encrypted La connexion LDAP est une connexion ouverte en utilisant ldaps schème, ou une connexion ouverte en utilisant ldap Schéma puis mis à niveau vers TLS avec une opération prolongée StartTLS.
La valeur de la propriété, qui est par défaut non défini, est une liste séparée par des virgules des noms de mécanisme qui sont autorisés à s'authentifier sur un clear connexion. Si une valeur n'est pas spécifiée pour la propriété, alors tous les mécanismes sont autorisés. Si la valeur spécifiée est une liste vide, alors aucun mécanisme n'est autorisé (à l'exception de none et anonymous). The default value for this property is ‘null’ ( c.. System.getProperty("jdk.jndi.ldap.mechsAllowedToSendCredentials") Renvoie «null»). Permettre explicitement à tous les mécanismes de s'authentifier sur un clear connexion, La valeur de la propriété peut être définie sur "all". Si une connexion est rétrogradée de encrypted à clear, alors seuls les mécanismes explicitement autorisés sont autorisés.
La propriété peut être fournie à la carte de l'environnement de contexte LDAP, ou définir le monde en tant que propriété système. Quand les deux sont fournis, La carte de l'environnement a la priorité.
Note: none et anonymous Les mécanismes d'authentification sont exemptés de ces règles et sont toujours autorisés quelle que soit la valeur de la propriété.
Ajouté 3 SSL Corporation Root CA Certificates
Les certificats racines suivants ont été ajoutés au Cacerts Truststore:
+ SSL Corporation
+ sslrootrsaca
DN: CN=SSL.com Root Certification Authority RSA, O=SSL Corporation, L=Houston, ST=Texas, C=US
+ sslrootevrsaca
DN: CN=SSL.com EV Root Certification Authority RSA R2, O=SSL Corporation, L=Houston, ST=Texas, C=US
+ sslrooteccca
DN: CN=SSL.com Root Certification Authority ECC, O=SSL Corporation, L=Houston, ST=Texas, C=US
Added Entrust Root Certification Authority – G4 certificate
The following root certificate has been added to the cacerts truststore:
+ Entrust
+ entrustrootcag4
DN: CN=Entrust Root Certification Authority - G4, OU="(c) 2015 Entrust, Inc. - for authorized use only",
OU=See www.entrust.net/legal-terms, O="Entrust, Inc.", C=US
8L'installateur U RPM n'a pas réussi à s'installer sur SUSE lors de la mise à jour d'alternatives
La communication avec le cadre alternatives de l'installateur JDK RPM à partir de 8U261 a changé. Les installateurs de RPM JDK des versions antérieures ont enregistré deux groupes de liens symboliques avec des alternatives Framework, java et javac. Certains noms de liens dans ces groupes ont été dupliqués, qui a abouti à des échecs d'installation pour certaines versions d'alternatives Framework. Le programme d'installation JDK RPM à partir de 8U261 n'enregistre pas le javac Groupe avec un cadre alternatifs. Tous les liens uniques au javac le groupe a été déplacé dans le java groupe, Mais l'ensemble des liens symboliques enregistrés par l'installateur n'a pas changé; Seuls les liens dupliqués ont été abandonnés.
L'implication de ce changement est que si cette version de JDK et 8U251 ou d'anciennes versions du JDK est installée et que la version précédente est désinstallée, les liens symboliques du java le groupe géré par le cadre alternatives sera supprimé. Pour restaurer les liens supprimés, exécuter la commande:
[macos] Invisible (Ou caché) Texte dans la fenêtre d'installation à l'aide du mode sombre de Mac
Un texte dans la fenêtre d'installation est masqué / invisible lors de l'utilisation du mode sombre sur macOS. À solution de contournement, Passez en mode lumière lors de l'exécution du programme d'installation.
Support amélioré de la classe proxy
La désérialisation de java.lang.reflect.Proxy Les objets peuvent être limités en définissant la propriété système jdk.serialProxyInterfaceLimit. La limite est le nombre maximum d'interfaces autorisées par proxy dans le flux. La fixation de la limite à zéro empêche les procurations d'être désérialisées, y compris les annotations, une limite de moins de 2 pourrait interférer avec les opérations RMI.
x86
msiexec.exe / i "Jre1.8.0_271.msi"/qn ju = 0 javaupdate = 0 autopDateCheck = 0 rebootyesno = no web_java = 1
x64
msiexec.exe / i "Jre1.8.0_27164.msi" /qn ju = 0 javaupdate = 0 autopDateCheck = 0 rebootyesno = no web_java = 1 retireolderjres = 1
Pour désinstaller une utilisation:
x86
msiexec / x {26A24AE4-039D-4CA4-87B4-2F32180271F0} /QN / NORESTART
x64
msiexec / x {26A24AE4-039D-4CA4-87B4-2F64180271F0} /QN / NORESTART
