昨天是CPU日。 Oracle通过6月的Java重要补丁更新发布了Java SE更新25 。 在4月的最后一次重大更新之后,这是与所有其他Oracle产品一起不符合Oracle关键补丁更新计划的最后一个更新。 从2013年10月开始 ,Java安全修补程序将遵循四个年度安全发布周期。 但是不要惊慌:Oracle将保留通过Security Alert程序发布紧急“带外”安全修复程序的功能 。 此外,这是第一个不会公开更新Java SE 6系列的CPU。 如果您需要该JRE系列的更新,则需要Oracle的Java SE支持 。 走这条路将带给您Java SE 6u51。
管理摘要
该版本已经发布了一段时间,并针对Java SE产品中的修复程序解决了40个漏洞。 其中的37个漏洞无需身份验证即可远程利用,即,可以通过网络利用这些漏洞而无需用户名和密码。 其中四个适用于服务器部署(CVE-2013-2451,CVE-2013-2457,CVE-2013-2407,CVE-2013-2461)。 Oracle Java SE风险矩阵中显示了完整列表。
什么是新的?
资料来源: Oracle文件
这次不是很多。 两项小改进不会对您造成太大影响。
在运行签名的Java applet和Java Web Start应用程序之前,请检查签名证书以确保尚未将其撤消。 可以设置Java控制面板(JCP)中的高级选项来管理检查过程。 这些联机检查可能根本无法在企业环境中使用,或者会影响启动性能。 为了避免两者,现在可以将其禁用。 您应该谨慎地做出此决定,并且仅在托管环境中执行此决定,因为它会降低总体安全保护机制。
资料来源: Oracle文件
进一步,通过“更多信息”链接增强了安全对话。 每当您遇到不安全的星座时,现在都将看到7u21引入的警告对话框,其中还包含一个附加链接。
如果没有提示您更新,则应尽快执行此操作。 从java.com下载适用于您系统的JRE,并保持最新状态!
告诉我这个坏消息!
这次没有肮脏和未宣布的消息。 但同样,您还有几件事要照顾。 首先,此版本带来了新的Olson Data 2013b。 即使我们有了TZUpdater,这也是一件好事。
修复了有关签名罐子的一个重要错误。 如果使用7u21,则如果已签名的jar包含未签名的index.list条目,则可以在没有任何未签名警告的情况下加载已签名的jar,但是对于7u25,这不再适用。 要正确签名jar,必须在签名jar之前创建索引条目。 有关更多信息,请参见错误8016771 。
JDK 7u25版本在JAR清单文件中引入了权限和代码库属性。 Permissions属性用于验证RIA运行时所请求的权限级别是否与创建JAR文件时设置的权限级别相匹配。 值沙箱和所有权限均有效。 它必须匹配JNLP文件或applet标记中请求的权限级别。
Codebase属性用于将JAR的代码库限制为特定域。 将此属性设置为应用程序所在的域名或IP地址。 也可以包含端口号。 对于多个位置,请用空格分隔值。 星号(*)只能在域名的开头用作通配符。 Codebase属性的值必须与JNLP文件或applet标记中指定的代码库或访问应用程序的实际位置匹配。
如果两个或两个要求之一都不匹配,则会显示错误,并且该应用程序不会运行。 如果不存在权限或代码库属性,则会将警告写入Java控制台,并使用为applet标记或JNLP文件指定的权限/代码库。 这种行为很可能会改变,将来会受到更多限制。 如果需要更多示例,请查看SE 7技术说明 。
如果您在某个地方托管Javadoc,请确保使用最新的Javadoc Tool对其进行重新生成。 正如CVE-2013-1571 API文档中所述,由Javadoc工具生成HTML格式包含右框架,当托管在Web服务器上时,可能容易受到框架注入的影响。 如果您无法重新生成它们,请使用SDK / JRE捆绑包中未包含的新更新程序工具 。
从7u21开始,在Windows平台上,对java.lang.ProcessBuilder指定的命令字符串和java.lang.Runtime定义的exec方法的解码变得更加严格。 7u25带来了新的系统属性jdk.lang.Process.allowAmbigousCommands,该属性可用于放宽检查过程,并且可以用作受更严格验证影响的某些应用程序的解决方法。 要使用此替代方法,应该更新命令行以包含-Djdk.lang.Process.allowAmbigousCommands = true,或者Java应用程序应将系统属性jdk.lang.Process.allowAmbigousCommands设置为true。
此外,还有许多错误修复程序可以直接解决CVE。 完整的解释列表以文本形式提供 。
进一步阅读
- Java Blog上的官方公告:
https://blogs.oracle.com/java/entry/java_se_7_update_25
- 7u25发行说明:
http://www.oracle.com/technetwork/java/javase/7u25-relnotes-1955741.html
- 四月Java CPU概述:
http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html
- Oracle Java SE June CPU的补丁程序可用性文档
https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1560542.1
- Java SE 6下载:
http://www.oracle.com/technetwork/java/javasebusiness/downloads/java-archive-downloads-javase6-419409.html
翻译自: https://www.javacodegeeks.com/2013/06/java-se-7-update-25-release-notes-explained.html
