昨天是CPU日。 Oracle通過(guò)6月的Java重要補(bǔ)丁更新發(fā)布了Java SE更新25 。 在4月的最后一次重大更新之后，這是與所有其他Oracle產(chǎn)品一起不符合Oracle關(guān)鍵補(bǔ)丁更新計(jì)劃的最后一個(gè)更新。 從2013年10月開(kāi)始 ，Java安全修補(bǔ)程序?qū)⒆裱膫€(gè)年度安全發(fā)布周期。 但是不要驚慌：Oracle將保留通過(guò)Security Alert程序發(fā)布緊急“帶外”安全修復(fù)程序的功能 。 此外，這是第一個(gè)不會(huì)公開(kāi)更新Java SE 6系列的CPU。 如果您需要該JRE系列的更新，則需要Oracle的Java SE支持 。 走這條路將帶給您Java SE 6u51。

管理摘要

該版本已經(jīng)發(fā)布了一段時(shí)間，并針對(duì)Java SE產(chǎn)品中的修復(fù)程序解決了40個(gè)漏洞。 其中的37個(gè)漏洞無(wú)需身份驗(yàn)證即可遠(yuǎn)程利用，即，可以通過(guò)網(wǎng)絡(luò)利用這些漏洞而無(wú)需用戶名和密碼。 其中四個(gè)適用于服務(wù)器部署（CVE-2013-2451，CVE-2013-2457，CVE-2013-2407，CVE-2013-2461）。 Oracle Java SE風(fēng)險(xiǎn)矩陣中顯示了完整列表。

什么是新的？

資料來(lái)源： Oracle文件

這次不是很多。 兩項(xiàng)小改進(jìn)不會(huì)對(duì)您造成太大影響。

在運(yùn)行簽名的Java applet和Java Web Start應(yīng)用程序之前，請(qǐng)檢查簽名證書(shū)以確保尚未將其撤消。 可以設(shè)置Java控制面板（JCP）中的高級(jí)選項(xiàng)來(lái)管理檢查過(guò)程。 這些聯(lián)機(jī)檢查可能根本無(wú)法在企業(yè)環(huán)境中使用，或者會(huì)影響啟動(dòng)性能。 為了避免兩者，現(xiàn)在可以將其禁用。 您應(yīng)該謹(jǐn)慎地做出此決定，并且僅在托管環(huán)境中執(zhí)行此決定，因?yàn)樗鼤?huì)降低總體安全保護(hù)機(jī)制。

資料來(lái)源： Oracle文件

進(jìn)一步，通過(guò)“更多信息”鏈接增強(qiáng)了安全對(duì)話。 每當(dāng)您遇到不安全的星座時(shí)，現(xiàn)在都將看到7u21引入的警告對(duì)話框，其中還包含一個(gè)附加鏈接。

如果沒(méi)有提示您更新，則應(yīng)盡快執(zhí)行此操作。 從java.com下載適用于您系統(tǒng)的JRE，并保持最新?tīng)顟B(tài)！

告訴我這個(gè)壞消息！

這次沒(méi)有骯臟和未宣布的消息。 但同樣，您還有幾件事要照顧。 首先，此版本帶來(lái)了新的Olson Data 2013b。 即使我們有了TZUpdater，這也是一件好事。

修復(fù)了有關(guān)簽名罐子的一個(gè)重要錯(cuò)誤。 如果使用7u21，則如果已簽名的jar包含未簽名的index.list條目，則可以在沒(méi)有任何未簽名警告的情況下加載已簽名的jar，但是對(duì)于7u25，這不再適用。 要正確簽名jar，必須在簽名jar之前創(chuàng)建索引條目。 有關(guān)更多信息，請(qǐng)參見(jiàn)錯(cuò)誤8016771 。

JDK 7u25版本在JAR清單文件中引入了權(quán)限和代碼庫(kù)屬性。 Permissions屬性用于驗(yàn)證RIA運(yùn)行時(shí)所請(qǐng)求的權(quán)限級(jí)別是否與創(chuàng)建JAR文件時(shí)設(shè)置的權(quán)限級(jí)別相匹配。 值沙箱和所有權(quán)限均有效。 它必須匹配JNLP文件或applet標(biāo)記中請(qǐng)求的權(quán)限級(jí)別。

Codebase屬性用于將JAR的代碼庫(kù)限制為特定域。 將此屬性設(shè)置為應(yīng)用程序所在的域名或IP地址。 也可以包含端口號(hào)。 對(duì)于多個(gè)位置，請(qǐng)用空格分隔值。 星號(hào)（*）只能在域名的開(kāi)頭用作通配符。 Codebase屬性的值必須與JNLP文件或applet標(biāo)記中指定的代碼庫(kù)或訪問(wèn)應(yīng)用程序的實(shí)際位置匹配。

如果兩個(gè)或兩個(gè)要求之一都不匹配，則會(huì)顯示錯(cuò)誤，并且該應(yīng)用程序不會(huì)運(yùn)行。 如果不存在權(quán)限或代碼庫(kù)屬性，則會(huì)將警告寫(xiě)入Java控制臺(tái)，并使用為applet標(biāo)記或JNLP文件指定的權(quán)限/代碼庫(kù)。 這種行為很可能會(huì)改變，將來(lái)會(huì)受到更多限制。 如果需要更多示例，請(qǐng)查看SE 7技術(shù)說(shuō)明 。

如果您在某個(gè)地方托管Javadoc，請(qǐng)確保使用最新的Javadoc Tool對(duì)其進(jìn)行重新生成。 正如CVE-2013-1571 API文檔中所述，由Javadoc工具生成HTML格式包含右框架，當(dāng)托管在Web服務(wù)器上時(shí)，可能容易受到框架注入的影響。 如果您無(wú)法重新生成它們，請(qǐng)使用SDK / JRE捆綁包中未包含的新更新程序工具 。

從7u21開(kāi)始，在Windows平臺(tái)上，對(duì)java.lang.ProcessBuilder指定的命令字符串和java.lang.Runtime定義的exec方法的解碼變得更加嚴(yán)格。 7u25帶來(lái)了新的系統(tǒng)屬性jdk.lang.Process.allowAmbigousCommands，該屬性可用于放寬檢查過(guò)程，并且可以用作受更嚴(yán)格驗(yàn)證影響的某些應(yīng)用程序的解決方法。 要使用此替代方法，應(yīng)該更新命令行以包含-Djdk.lang.Process.allowAmbigousCommands = true，或者Java應(yīng)用程序應(yīng)將系統(tǒng)屬性jdk.lang.Process.allowAmbigousCommands設(shè)置為true。

此外，還有許多錯(cuò)誤修復(fù)程序可以直接解決CVE。 完整的解釋列表以文本形式提供 。

進(jìn)一步閱讀

• Java Blog上的官方公告：

  https://blogs.oracle.com/java/entry/java_se_7_update_25

• 7u25發(fā)行說(shuō)明：

  http://www.oracle.com/technetwork/java/javase/7u25-relnotes-1955741.html

• 四月Java CPU概述：

  http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html

• Oracle Java SE June CPU的補(bǔ)丁??程序可用性文檔

  https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1560542.1

• Java SE 6下載：

  http://www.oracle.com/technetwork/java/javasebusiness/downloads/java-archive-downloads-javase6-419409.html

參考： Java SE 7 Update 25 –發(fā)行說(shuō)明已解釋。 來(lái)自我們的JCG合作伙伴 Markus Eisele在Java的企業(yè)軟件開(kāi)發(fā)博客中。

翻譯自: https://www.javacodegeeks.com/2013/06/java-se-7-update-25-release-notes-explained.html

總結(jié)

以上是生活随笔為你收集整理的Java SE 7 Update 25 –发行说明进行了解释。的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。