房地产市场信息系统网站长沙疫情最新情况

发行版要点说明

IANA Data 2016i
JDK 8u121 包含 IANA 时区数据版本 2016i。有关详细信息，请参阅 JRE 软件中的时区数据版本。
Bug 修复：OS X 10.12 Sierra 上使用触摸板滚动文本的速度非常快
MouseWheelEvent.getWheelRotation() 方法在 Mac OS X 上返回舍入的本机 NSEvent deltaX/Y 事件。最新 macOS Sierra 10.12 生成极小的 NSEvent deltaX/Y 值，因此对这些值进行舍入并计算总和会导致从 MouseWheelEvent.getWheelRotation() 返回极大的值。在 JDK-8166591 修复中会累积 NSEvent deltaX/Y，MouseWheelEvent.getWheelRotation() 方法仅在累积值超过阈值时返回非零值，否则返回零值。这与 MouseWheelEvent.getWheelRotation() 规范吻合：“以整数形式返回鼠标滚轮滚动的‘单击’数。鼠标支持高分辨率滚轮时，可能会出现部分滚动。在这种情况下，该方法返回零，直至累积到一次完整的‘单击’。”如需精确的滚轮滚动值，请改为使用 MouseWheelEvent.getPreciseWheelRotation() 方法。请参阅 JDK-8166591
增加 JDK 中 EC 的默认强度
为了增加 EC 密码的默认强度，已在 JDK 的认证路径处理（通过 jdk.certpath.disabledAlgorithms 安全属性）和 SSL/TLS 连接（通过 jdk.tls.disabledAlgorithms 安全属性）中停用小于 224 位的 EC 密钥。应用程序可以在安全属性中更新此限制并在实际需要时允许更小的密钥大小（例如，"EC keySize < 192"）。已从 JDK 的 SSL/TLS 实现中删除小于 256 位的 EC 曲线。新系统属性 jdk.tls.namedGroups 按首选项顺序为 EC 密码套件定义了已启用的指定曲线列表。如果应用程序需要定制默认启用的 EC 曲线或曲线首选项，请相应地更新该系统属性。例如：jdk.tls.namedGroups="secp256r1, secp384r1, secp521r1"请注意，默认启用或定制的 EC 曲线遵循算法约束。例如，定制 EC 曲线无法重新激活由 Java 安全属性定义的已禁用 EC 密钥。请参阅 JDK-8148516
适用于 javadoc 的新 --allow-script-in-comments 选项
除非指定命令行选项 --allow-script-in-comments，否则 javadoc 工具现在将拒绝 javadoc 文档注释和命令行选项中出现的任何 JavaScript 代码。使用 --allow-script-in-comments 选项时，javadoc 工具将在文档注释和命令行选项中保留 JavaScript 代码。如果找到 JavaScript 代码并且未设置命令行选项，则 javadoc 工具将给出错误。
JDK-8138725（非公共）
将用于 XML 签名的最短密钥长度增加到 1024
XML 签名实施的安全验证模式得到了增强，默认情况下限制小于 1024 位的 RSA 和 DSA 密钥，因为这对于数字签名已不够安全。此外，向 java.security 文件添加了名为 jdk.xml.dsig.SecureValidationPolicy 的新安全属性，来控制启用了安全验证模式时实施的不同限制。通过使用 javax.xml.crypto.XMLCryptoContext.setProperty 方法将 xml 签名属性 org.jcp.xml.dsig.secureValidation 设置为 true，或者通过使用 SecurityManager 运行代码，可以启用安全验证模式。如果使用弱 RSA 或 DSA 密钥生成或验证了 XML 签名，则将引发 XMLSignatureException，并显示消息“启用安全验证时禁止使用小于 1024 位的 RSA 密钥”或“启用安全验证时禁止使用小于 1024 位的 DSA 密钥”。
JDK-8140353（非公共）
限制 DSA 密钥小于 1024 位的证书
小于 1024 位的 DSA 密钥强度不够，在证书路径构建和验证中应该限制使用。与此对应，在默认情况下，通过将 "DSA keySize < 1024" 添加到 "jdk.certpath.disabledAlgorithms" 安全属性而禁用了小于 1024 位的 DSA 密钥。应用程序可以在安全属性 ("jdk.certpath.disabledAlgorithms") 中更新此限制，在确实需要时允许使用较小的密钥大小（例如，"DSA keySize < 768"）。JDK-8139565（非公共）
DER 编码语法分析代码增加了更多检查
DER 编码语法分析代码增加了更多检查，可捕获各种编码错误。此外，如果现在签名中包含长度不确定的结构化代码，则在语法分析期间会导致 IOException。请注意，使用 JDK 默认提供方生成的签名不受此更改的影响。JDK-8168714（非公共）
URLClassLoader.newInstance 的其他访问限制
java.net.URLClassLoader.newInstance 方法创建的类加载程序可用于从指定 URL 列表中加载类。如果调用代码对一个或多个 URL 没有访问权限，并且可以访问的 URL Artifact 不包含所需类，则将引发 ClassNotFoundException 或类似异常错误。以前，在拒绝对 URL 的访问时将引发 SecurityException。如果需要还原到以前的行为，可以通过设置 jdk.net.URLClassPath.disableRestrictedPermissions 系统属性来禁用此更改。JDK-8151934（非公共）
logging.properties java.util.logging.FileHandler.maxLocks 中新的可配置属性
java.util.logging.FileHandler 中添加了新的 "java.util.logging.FileHandler.maxLocks" 可配置属性。这个新的日志记录属性可以在日志记录配置文件中定义，这样可以配置 FileHandler 能够处理的最大并行日志文件锁定数。默认值为 100。在有多个（超过 101 个）独立客户机应用程序同时使用带有 FileHandler 的 JDK 日志记录 API 的高度并发环境中，可能会达到默认限制 100，导致获取 FileHandler 文件锁定失败并引发 IO 异常错误。在这种情况下，可以先使用新的日志记录属性来增加最大锁定数，然后再部署应用程序。如果未覆盖此值，则 maxLocks 的最大值 (100) 保持不变。有关详细信息，请参阅 java.util.logging.LogManager 和 java.util.logging.FileHandler API 文档。请参阅 JDK-8153955

注释
JNDI 远程类加载的保护更好

默认情况下，通过存储在命名和目录服务中的 JNDI 对象工厂加载的远程类处于禁用状态。要通过 RMI 注册表或 COS 命名服务提供商启用远程类加载，请根据需要将以下系统属性设置为 “true”：

com.sun.jndi.rmi.object.trustURLCodebase
com.sun.jndi.cosnaming.object.trustURLCodebase

JDK-8158997（非公共）
jarsigner -verbose -verify 应输出用于对 jar 进行签名的算法

jarsigner 工具已进行了改进，可显示生成已签名 JAR 文件所使用的算法和密钥的详细信息，还可以指示其中任意项是否被视为较弱。

具体而言，在调用 “jarsigner -verify -verbose filename.jar” 时，将输出一个单独的部分，其中显示已签名 JAR 文件中签名和时间戳（如果存在）的信息，即使由于各种原因将其视为未签名也是如此。如果认为使用的算法或密钥较弱（在安全属性 jdk.jar.disabledAlgorithms 中指定），则会将其标记为“（弱）”。

例如：

• Signed by “CN=weak_signer”
  Digest algorithm: MD2 (weak)
  Signature algorithm: MD2withRSA (weak), 512-bit key (weak)
  Timestamped by “CN=strong_tsa” on Mon Sep 26 08:59:39 CST 2016
  Timestamp digest algorithm: SHA-256
  Timestamp signature algorithm: SHA256withRSA, 2048-bit key

请参阅 JDK-8163304
已知问题
javapackager 和 fx:deploy 绑定整个 JDK 而非 JRE

Java Packager for Mac 中已知存在 Bug，可能会随应用程序包绑定整个 JDK，导致包异常大。解决方法是使用绑定程序选项 -Bruntime。例如：-Bruntime=JavaAppletPlugin.plugin，其中 JavaAppletPlugin.plugin 表示所需绑定的 JRE 位于当前目录中。请参阅 JDK-8166835
禁用 UAC 的非管理员用户在安装 Java 时将失败

对于禁用了用户访问控制 (UAC) 的非管理员用户，在 Windows 上安装 Java 时将会失败，而不显示警告或提示。安装程序将在 %TEMP% 目录中留下目录 jds.tmp。
JDK-8161460（非公共）
新增功能
添加了安全属性用于配置 XML 签名安全验证模式

添加了名为 jdk.xml.dsig.secureValidationPolicy 的新安全属性，可用于配置单独的限制，在启用 XML 签名安全验证模式时实施这些限制。java.security 配置文件中此属性的默认值为：

jdk.xml.dsig.secureValidationPolicy=
disallowAlg http://www.w3.org/TR/1999/REC-xslt-19991116,
disallowAlg http://www.w3.org/2001/04/xmldsig-more#rsa-md5,
disallowAlg http://www.w3.org/2001/04/xmldsig-more#hmac-md5,
disallowAlg http://www.w3.org/2001/04/xmldsig-more#md5,
maxTransforms 5,
maxReferences 30,
disallowReferenceUriSchemes file http https,
noDuplicateIds,
noRetrievalMethodLoops

有关详细信息，请参阅 java.security 文件中此属性的定义。请参阅 JDK-8151893
序列化筛选器配置

序列化筛选引入了新的机制，该机制允许筛选对象序列化数据的传入流，以提升安全性和可靠性。每个 ObjectInputStream 在反序列化期间将一个筛选器（如果已配置）应用到流内容。使用系统属性或配置的安全属性来设置筛选器。“jdk.serialFilter” 模式的值在 JEP 290 序列化筛选和 /lib/security/java.security 中介绍。筛选操作记录到 ‘java.io.serialization’ 日志记录程序（如果启用）。请参阅 JDK-8155760
RMI 改进的约束条件检查

RMI 注册表和分布式垃圾回收使用 JEP 290 序列化筛选机制来改进服务可靠性。对于预期在各个服务中使用的典型类，RMI 注册表和 DGC 实施内置白名单筛选器。可以使用系统属性或安全属性配置其他筛选模式。“sun.rmi.registry.registryFilter” 和 “sun.rmi.transport.dgcFilter” 属性模式语法在 JEP 290 和 /lib/security/java.security 中介绍。JDK-8156802（非公共）
添加机制以允许非默认根 CA 不受算法限制

在 java.security 文件中，名为 “jdkCA” 的附加约束条件添加到 jdk.certpath.disabledAlgorithms 属性中。仅当指定的算法用于证书链，而该证书链在 lib/security/cacerts 密钥库中的标记信任锚定点处终止时，此约束条件才禁止该算法。如果未设置 jdkCA 约束条件，则将限制使用指定算法的所有链。jdkCA 在 DisabledAlgorithm 表达式中只能使用一次。示例：要将此约束条件应用到 SHA-1 证书，请包括以下内容：SHA1 jdkCA
请参阅 JDK-8140422
Java 到期日期

8u121 的到期日期是 2017 年 4 月 18 日。只要具有安全漏洞修复的新发行版可用，Java 就会到期。对于无法访问 Oracle 服务器的系统，辅助机制将使此 JRE（版本 8u121）于 2017 年 5 月 18 日到期。满足两个条件中的任何一个（新发行版可用或到达到期日期）后，Java 将向用户提供其他警告和提醒以更新到较新版本。
Bug 修复

本发行版包含对安全漏洞的修复。有关详细信息，请参阅 Oracle Java SE Critical Patch Update Advisory。有关此发行版中包含的 Bug 修复列表，请参阅 JDK 8u121 Bug 修复页。