Redian新闻
>
Java 近期新闻:外部函数和内存 API、OpenJDK JEP、Apache Tomcat CVE

Java 近期新闻:外部函数和内存 API、OpenJDK JEP、Apache Tomcat CVE

科技

作者 | Michael Redlich
译者 | 明知山
策划 | 丁晓昀
OpenJDK

在结束了评审之后,JEP 454(外部函数和内存 API)从 Proposed to Target 进入到了 Targeted(JDK 22)状态。该 JEP 建议在经历了两轮孵化和三轮预览之后确定这个特性:在 JDK 17 中交付的 JEP 412(外部函数和内存 API(孵化器))、在 JDK 18 中交付的 JEP 419(外部函数和内存 API(第二轮孵化器))、在 JDK 19 中交付的 JEP 424(外部函数和内存 API(预览))、在 JDK 20 中交付的 JEP 434(外部函数和内存 API(第二次预览)),以及在 JDK 21 GA 版本中交付的 JEP 442(外部函数和内存 API(第三次预览))。自上一个版本以来的改进包括:新的 Enable-Native-Access manifest 属性,允许可执行 JAR 包中的代码调用受限制的方法而无需使用——Enable-Native-Access 标志;允许客户端通过编程的方式构建 C 函数描述符,避免使用特定于平台的常量;改进了对本地内存中可变长度数组的支持;支持多字符集本地字符串。InfoQ 将会继续跟进报道。

JEP 460(Vector API(第七轮孵化器))已从 JEP Draft 8315945 进入到 Candidate 状态。这个 JEP 整合了针对前六轮孵化的增强:在 JDK 21 GA 版本中交付的 JEP 448( Vector API (第六轮孵化器))在 JDK 20 中交付的 JEP 438(Vector API (第五轮孵化器))、在 JDK 19 中交付的 JEP 426(Vector API (第四轮孵化器)、在 JDK 18 中交付的 JEP 417(Vector API (第三轮孵化器)、在 JDK 17 中交付的 JEP 414(Vector API (第二轮孵化器))、在 JDK 16 中作为孵化器模块发布的 JEP 338(Vector API (孵化器))。JEP 448 最重要的变化包括对 JVM 编译器接口 (JVMCI) 的增强,以支持 Vector API 的值。

JEP Draft 8315398(隐式声明类和实例主方法 (第二次预览)),即之前的未命名类和实例主方法 (预览)、灵活主方法和匿名主类 (预览) 和隐式类和增强的主方法 (预览),根据前一轮预览,即 JEP 445(未命名类和实例主方法 (预览))的反馈进行了增强。这个 JEP 建议“让学生可以在不需要理解太多语言特性的前提下编写他们的第一个程序。”2022 年 9 月,Oracle 的 Java 语言架构师 Brian Goetz 为此撰写了“Paving the on-ramp”一文。Oracle 技术委员会成员 Gavin Bierman 已发布规范文档初稿,供 Java 社区评审。关于 JEP 445 的更多细节可以在 InfoQ 的其他报道中找到。

Oracle 技术委员会成员 Gavin Bierman 对 JEP 447(super() 的前置语句 (预览))的规范文档进行了更新。JEP 447 提议允许在构造函数的 this() 或 super() 之前出现不引用正在创建的实例的语句,并保留构造函数现有的安全性和初始化保证。

JDK 22

JDK 22 早期访问构建版本的 Build 19 提供了针对 Build 18 的更新,其中包括对各种问题的修复。关于该构建版本的更多细节可以在版本说明中找到。

对于 JDK 22,开发人员可以向 Java Bug Database 报告错误。

Spring Framework

Spring Framework 6.1.0 的第一个候选发行版包含了一些问题修复、文档改进、依赖项升级和新特性,例如:为改进对 CRaC 的支持,将ReactorResourceFactory类从 org.springframework.http.client 包移到了 org.springframework.http.client 包中;允许为RestClient接口实现ClientRequestObservationConvention接口;在ApplicationListenerMethodAdapter类中公开 shouldHandle(ApplicationEvent) 方法,用于检查监听器是否对某个事件感兴趣。关于该版本的更多细节可以在版本说明中找到。

类似的,Spring Framework 6.0.13 已发布,其中包含了问题修复、文档改进、依赖项升级和新特性,如:改进了针对 Spring 表达式语言中因重复文本大小计算而导致的溢出的诊断;为注解了@Configuration 的 CGLIB 代理类重新引入FastClass 类。关于该版本的更多细节可以在版本说明中找到。

Spring Data 2023.1.0 第一个候选版本(代号为 Vaughn)的特新包括:支持 JDK 21;通过配置 JavaExecutor 接口来使用虚拟线程;支持 Kotlin 值类;对 CRaC 优化进行了初步探索;文档迁移到了 Antora。关于该版本的更多细节可以在版本说明中找到。

Spring Data 各个服务版本(2023.0.5、2022.0.11 和 2021.2.17)的依赖子项目升级包括:Spring Data Commons 3.1.5、3.0.11 和 2.7.17;Spring Data MongoDB 4.1.5、4.0.11 和 3.4.17;Spring Data Elasticsearch 5.1.5、5.0.11 和 4.4.17;Spring Data Neo4j 7.1.7、7.0.11 和 6.3.17。这些版本分别包含在即将发布的 Spring Boot 3.1.5、3.0.12 和 2.7.17 中。

Spring Shell 3.2.0 第二个里程碑版本提供了实验性的新终端 UI 和其他值得注意的变化,如:新的ViewCommand类,为View接口提供更高级别的指令;改进了ButtonViewDialogView类的实现。关于该版本的更多细节,包括新终端 UI 的演示,可以在版本说明中找到。

Micronaut

Micronaut 基金会发布了 Micronaut 框架的 4.1.4 版本,包含 Micronaut Core 4.1.9 和模块更新:Micronaut Serialization、 Micronaut AWS、Micronaut Email、Micronaut Data、Micronaut Maven Plugin、Micronaut SQL Libraries 和 Micronaut Discovery Client。关于该版本的更多细节可以在版本说明中找到。

Quarkus

Red Hat 发布了 Quarkus 的 3.4.3 版本,主要解决了 CVE-2023-44487,一个与 Tomcat HTTP/2 实现有关的问题,容易受到快速重置攻击,进而出现拒绝服务,通常表现为 OutOfMemoryError。除此之外,还有文档方面的改进和一些值得注意的修复,如:调用响应式 REST 客户端被挂起(因接收到导致资源无法被释放的无效块响应);被转换为原生构建的 Quarkus 应用程序(使用了 Picocli 和 JAX-RS)消费 SSE 时抛出 ClassNotFoundException;允许 MicroProfile@ClientHeaderParam注解覆盖“User-Agent”标头参数。关于此版本的更多细节可以在 changelog 中找到。

Micrometer

Micrometer Metrics1.12.0-RC1、1.11.5、1.10.12 和 1.9.16 分别带来了依赖项升级和错误修复:在运行 Spring Boot 应用程序时ObservationRegistry.NOOP接口的实例为空;调用定义在Observation 接口内部类 Context 的 computeIfAbsent() 方法时抛出ConcurrentModificationException 。版本 1.12.0-RC1 中的新特性包括:将 Jakarta Messaging 规范的增强移到新模块 micrometer-jakarta9;Wavefront 集成支持 VMware CSP 认证系统。关于这些版本的更多细节可以在 1.12.0-RC1、1.11.5、1.10.12 和 1.9.16 的版本说明中找到。

类似的,Micrometer Tracing 的 1.2.0-RC1、1.1.6 和 1.0.11 版本也包含了依赖项升级和错误修复,如:在 Gradle 构建中应用更广泛的 Zipkin Reporter 来解决依赖问题;在ObservationAwareSpanThreadLocalAccessor类中设置了作用域时可以进行覆盖。1.2.0-RC1 版本的新特性包括:为改进框架的配置,在匹配TimeAspect类时将SpanTagAnnotationHandler类定义为可选的;io.opentelemetry:opentelemetry-semconv 改为 io.opentelemetry.semconv:opentelemetry-semconv,因为 OpenTelemetry 已经弃用了旧的语义约定模块,使用了一个具有不同 Maven 坐标的新模块。关于这些版本的更多细节可以在 1.2.0-RC1、1.1.6 和 1.0.11 的版本说明中找到。

Apache 软件基金会

Apache Tomcat 团队披露了四个影响版本 11.0.0-M1 至 11.0.0-M11、10.1.0-M1 至 10.1.13、9.0.0-M1 至 9.0.80 和 8.5.0 至 8.5.93 的 CVE。

  • CVE-2023-42795,在回收各种内部对象(包括请求和响应)时出现的信息暴露问题,即一些错误可能导致 Tomcat 跳过回收过程的某些部分,旧对象在被下一个请求 / 响应重用之前发生信息泄漏。

  • CVE-2023-45648,攻击者在反向代理后面通过发送特制的无效标头促使 Tomcat 将单个请求视为多个请求,从而导致请求夹带。

  • 之前提到的 CVE-2023-44487。

  • CVE-2023-42794,Commons FileUpload 包的 Tomcat 内部分支包含了一个未发布的针对 Windows 的重构,如果一个 Web 应用程序为上传的文件打开了一个流,但未能关闭流就会出现该漏洞。由于磁盘已满,该文件将永远不会从磁盘上删除,从而可能导致拒绝服务。该 CVE 仅影响 Tomcat 9.0.70 至 9.0.80 和 8.5.85 至 8.5.93。

这些受影响版本的用户需要采取以下缓解措施之一:至少升级到 Apache Tomcat 的版本 11.0.0-M12、10.1.14、9.0.81 和 8.5.94。

Apache Kafka 3.6.0 版本包含了错误修复、改进和新功能,例如:支持 Kafka Raft (KRaft) 的委托令牌;将 Kafka 集群从 ZooKeeper 元数据系统迁移到 KRaft 元数据系统的能力;将分级存储作为早期访问功能。关于该版本的更多细节可以在版本说明中找到。

Apache Camel 4.1.0 版本包含了错误修复、依赖项升级和新特性,如:捕获启动事件并按照人类可读的格式报告时间;新的 Camel Thymeleaf 模板组件,作为对现有 Camel Freemarker 和 Camel Velocity 组件的补充;一个新的命令,按照 CycloneDX 格式为给定的 JBang 项目生成 SBOM。关于该版本的更多细节可以在版本说明中找到。

Eclipse Vert.x

Eclipse Vert.x 4.4.6 版本包含了依赖项升级和一些值得注意的变更,如:升级到 Netty 4.1.100.Final,解决了上述的 CVE-2023-44487;修复Money 类,弃用 Money(long,int) 构造函数,转而使用 Money(Number);不再支持 curl 命令中的空 Host 标头,这个空标头会抛出 NullPointerException。关于该版本的更多细节可以在版本说明和弃用和重大变更说明中找到。

Reactor

Reactor 2023.0.0 的第一个候选版本包含对 reactor-core 3.6.0-RC1、reactor-pool 1.0.3 和 reactor-netty 1.1.12 的依赖项升级。2023.0.0-RC1 版本也进行了调整,其中 reactor-kafka 1.3.21、 reactor-addons 3.5.1 和 reactor-kotlin-extensions 1.2.2 保持不变。关于该版本的更多细节可以在变更日志中找到。

类似的,Reactor 2022.0.12,第十二个维护版本包含了对 reactor-core 3.5.11、reactor-netty 1.1.12 和 reactor-pool 1.0.3 的依赖项升级。2022.0.11 版本也进行了调整,其中 reactor-kafka 1.3.21、reactor-addons 3.5.1 和 reactor-kotlin-extensions 1.2.2 保持不变。关于该版本的更多细节可以在变更日志中找到。

JHipster Lite

JHipster Lite0.44.0 版本已经发布,其中包含问题修复、依赖项升级和新功能(增强),如:在 JDK 21 的某些构建版本中启用;修复了在KafkaPropertiesTest 类中使用 Java HashMap类的问题;为改善导航体验,在横向屏幕上显示小地图。关于该版本的更多细节可以在版本说明中找到。

Piranha

Piranha 23.10.0 版本包含了一些显著变化,如:依赖项和插件升级;修复了PiranhaJarContainer 类中的代码坏味道;修复漏洞、技术债务、安全和可靠性问题。关于该版本的更多细节可以在其官方文档和问题跟踪器中找到。

RefactorFirst

Improving(一家提供培训、咨询、招聘和项目服务的公司)首席软件咨询顾问 Jim Bethancourt 宣布发布 RefactorFirst 0.5.0-M1。该版本包含了许多依赖项升级和新特性,如:新的 RefactorFirst 命令行;将 HTML、CSV 和 JSON 报告重构成各自的模块。值得注意的是,RefactorFirst 现在需要 JDK 11 来解决 CVE-2023-4759,这是 JGit 6.6.0 以下版本存在的一个漏洞,攻击者可以使用特制 git 存储库中的符号链接将文件写入工作树之外的位置。因此,该项目也被移到 GitHub 上新创建的 RefactorFirst 目录中。关于该版本的更多细节可以在版本说明中找到。

摩洛哥 Devoxx 大会

摩洛哥 Devoxx 大会在 Hilton Taghazout Bay Beach Resort & Spa 举办,来自 Java 社区的演讲者发表了主题演讲,包括:架构、数据与人工智能、开发实践、DevOps 与云计算,以及安全。

原文链接:

https://www.infoq.com/news/2023/10/java-news-roundup-oct09-2023/

声明:本文由 InfoQ 翻译,未经许可禁止转载。

今日好文推荐
是时候彻底放弃“高分低能”的 Leetcode了:AI 时代的面试需要大变革!
B 站广州研发工作室解散;外媒曝光苹果中国区丑闻;OpenAI 被曝已叫停新大模型项目 | Q资讯
“MySQL 之父”的 MariaDB 要完蛋了?叫停两款核心产品并裁员 28%,分析师:该行为无异于自毁长城
剑指 Kubernetes!微软发布开源平台 Radius:高效构建、运行云原生应用程序

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
Scuba Oversized Java: 全拉链带帽 vs 半拉链立领火了132年!经典老牌𝙐𝙎𝙋𝘼(美国马球协会)打底衫来了!上身就是高级感,真香!火了132年!经典老牌𝙐𝙎𝙋𝘼(美国马球协会)打底衫来了!3折抢!真香精选SDE岗位 | Microsoft、SAP、Optiver公司岗位发布!Java近期新闻:Spring Framework 6.1、Spring Data 2023.1、Payara Platform原子弹的前世今生(续)——曼哈顿计划的故事,Now It Can Be Told求购菜鸟、比亚迪半导体股份;转让Shein、Open AI基金LP份额|资情留言板第110期英特尔将OpenJDK的数据排序速度提高7-15倍Girls’ Education Biopic Catches Heat for Female Depiction苹果副总裁回应 “黄金内存”:「统一内存架构」的8GB近似于其它系统的16GBICCV 2023 OmniObject3D挑战赛倒计时!双重赛道等你来战寻找仙鹤之旅Checkmate HATE: 10th Annual Chess-in-the- Park加元汇率暴涨至近期新高!加拿大通胀回落!油价菜价再涨!Labor Day 追忆New Dam in NW China Aims to Restore Flow to Parched Heihe River"妈妈让我来自首",7岁男孩在派出所写下"bǎozhèng书"西域从王君玉乞茶因其韵Spring Framework 6.1正式GA,兼容虚拟线程和JDK 21让OpenCV 5活下去!OpenCV发起50万美元众筹!注意!加元汇率暴涨至近期新高!加拿大通胀回落!油价菜价再涨!莱比锡大学“物理和地理物理学院”更名,近期新增英授硕士专业To Stop Teen From Moving, Chongqing Mom Flees With School PapersJava 近期新闻:JDK 22 的 JEP、Spring Shell、Quarkus、Apache Camel、JDKMon李迅雷:外部环境最差的时候已过去,明年会有一个“小阳春”Java近期新闻:JDK 22 发布时间表、巴比伦项目、Helidon 4.0-RC2、MicroProfile 6.1-RC1专访丨积家CEO Catherine Rénier:情感联结和艺术表达对腕表也至关重要留学生注意!加元汇率暴涨至近期新高!交学费又要亏了!lulu折扣区更新了,大量scuba(绿金、Java)define打折,Blissfeel 运动鞋黑色才79微软、英伟达、OpenAI为啥给游戏砸钱!AI巨头看见什么新趋势?|直播预告人事动向|LVMH 大公子辞去 Berluti CEO 一职,Gucci 、YNAP、Y/Project 等高管变动Java近期新闻:Grails 6.0、PrimeFaces 13.0、JUnit 5.10、GraalVM、新的 JEP 草案Java 近期新闻:Helidon 4.0、Eclipse Serializer 1.0 和 JDK 22 JEP【惠宜教育2023美高招生讲座】圣斯蒂芬教会学校 St. Stephen's Episcopal School TX注意 ◇ 加元汇率暴涨至近期新高!加拿大通胀回落!油价菜价再涨!迎来最惨黑五?亚马逊订单腰斩,Temu、TikTok Shop、速卖通、Shein开始逆袭!【解字】谈“修行”
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。