Java 8 Update 101 (8u101)

Java 8 Update 101 (8u101)

发行版要点说明

IANA Data 2016d
JDK 8u101 包含 IANA 时区数据版本 2016d。有关详细信息，请参阅 JRE 软件中的时区数据版本。请参阅 JDK-8151876。
证书更改
新 DTrust 证书已添加到根 CA
已添加两个新的根证书：D-TRUST Root Class 3 CA 2 2009别名：dtrustclass3ca2DN：CN=D-TRUST Root Class 3 CA 2 2009，O=D-Trust GmbH，C=DED-TRUST Root Class 3 CA 2 EV 2009别名：dtrustclass3ca2evDN：CN=D-TRUST Root Class 3 CA 2 EV 2009，O=D-Trust GmbH，C=DE
请参阅 JDK-8153080新 Iden 证书已添加到根 CA
已添加三个新的根证书：IdenTrust Public Sector Root CA 1别名：identrustpubliccaDN：CN=IdenTrust Public Sector Root CA 1，O=IdenTrust，C=USIdenTrust Commercial Root CA 1别名：identrustcommercialDN：CN=IdenTrust Commercial Root CA 1，O=IdenTrust，C=USIdenTrust DST Root CA X3别名：identrustdstx3DN：CN=DST Root CA X3，O=Digital Signature Trust Co.
请参阅 JDK-8154757已删除 Comodo 根 CA
已从 cacerts 文件中删除 Comodo "UTN - DATACorp SGC" 根 CA 证书。请参阅 JDK-8141540已删除 Sonera Class1 CA
已从 cacerts 文件中删除 "Sonera Class1 CA" 根 CA 证书。请参阅 JDK-8141276。
改进对 i.CORBA.ValueHandler 的访问控制
i.CORBA.Util 类提供了可供存根和绑定使用的方法来执行常见操作。它还用作 ValueHandlers 的工厂。i.CORBA.ValueHandler 接口提供了服务，用于支持对 GIOP 流读取和写入值类型。这些实用程序的安全意识已通过引入权限 java.io.SerializablePermission("enableCustomValueHanlder") 而得到增强。这用于在 i.CORBA.Util 的用户与 i.CORBA.ValueHandler API 之间建立信任关系。所需的权限为 "enableCustomValueHanlder" SerializablePermission。如果在安装了 SecurityManager 的情况下运行第三方代码，但在调用 ateValueHandler() 时没有新权限，则会失败，并出现 AccessControlException。在 JDK8u 及以前的发行版中，可以定义系统属性 &#i.CORBA.allowCustomValueHandler" 来覆盖此权限检查行为。因此，如果已安装 SecurityManager 并且不满足以下两个要求，则需要对显式调用 i.ateValueHandler 的外部应用程序执行配置更改：SecurityManager 未对 java.io.SerializablePermission("enableCustomValueHanlder") 进行授权。当应用程序在 JDK8u 和之前的版本上运行时，系统属性 &#i.CORBA.allowCustomValueHandler" 未定义或者已定义为 "false"（不区分大小写）。 请注意，"enableCustomValueHanlder" 拼写错误将在 2016 年 10 月的发行版中更正。在这些及未来的 JDK 发行版中，"enableCustomValueHandler" 将作为正确的 SerializationPermission 来使用。
JDK-8079718（非公共）
在 jarsigner 中增加了指定时间戳散列算法的支持
jarsigner 增加了新的 -tsadigestalg 选项，可用于指定消息摘要算法，该算法用于生成要发送到 TSA 服务器的消息印记。在较早的 JDK 发行版中，使用的消息摘要算法是 SHA-1。如果未指定此新选项，则将在 JDK 7 Update 和 JDK 产品系列的更高版本中使用 SHA-256。在 JDK 6 Update 中，仍将 SHA-1 保留为默认值，但会在标准输出流中输出警告。请参阅 JDK-8038837
MSCAPI 密钥库可以处理同名证书
Java SE 密钥库不允许使用具有相同别名的证书。但是，在 Windows 上，允许存储在一个密钥库中的多个证书具有不唯一的友好名称。利用 JDK-6483657 的修复，可以通过 Java API 以手工方式使可见别名变得唯一，从而对此类命名不唯一的证书执行操作。请注意，此修复未启用通过 Java API 创建同名证书的功能。它只允许您处理由第三方工具添加到密钥库的同名证书。仍然建议您在设计时不要使用同名的多个证书。特别是，Java 文档中将不删除以下说明：
“为避免问题，建议不要在密钥库中使用只有大小写不同的别名。”
请参阅 JDK-6483657。
部署工具包 API 方法不再安装 JRE
对于来自 deployJava.js 的部署工具包 API installLatestJRE() 和 installJRE(requestedVersion) 方法，以及来自 dtjava.js 的 install() 方法，不再安装 JRE。如果用户的 Java 版本低于安全基线，则会将用户重定向到 java 以获取更新后的 JRE。JDK-8148310（非公共）
与 ProtectionDomain 对象结合时，DomainCombiner 不再咨询静态 ProtectionDomain 对象的运行时策略
通过此修复，使用权限集不足的静态 ProtectionDomain 对象（使用双参数构造器创建）的应用程序现在会遇到 AccessControlException。它们应使用其权限集可通过当前策略扩展的动态对象（使用四参数构造器）来替换静态 ProtectionDomain 对象，或者构造具有所有必需权限的静态 ProtectionDomain 对象。JDK-8147771（非公共）

已知问题
在使用静态类 ID 时，Internet Explorer (IE) 无法识别 JRE 8u101

使用 JRE 8u101 时，如果使用静态类 ID 来启动小应用程序或 Web Start 应用程序，则用户会看到意外的对话框，说明应该使用最新的 JRE 或取消启动，即使用户已安装并正在使用最新的 JRE (JRE 8u101) 也是如此。这种特殊情况仅在 Windows 和 IE 中发生。

根据 .html，我们建议不为 JRE 版本选择使用静态类 ID（自 2005 年 12 月 JDK 5u6 起）。
要解决此问题，用户可以执行以下两种操作之一：

使用最新版本 (8u101) 启动并忽略警告。
安装 JRE 8u102 而非 JRE 8u101 以避免出现此问题。

要解决此问题，开发人员可以执行以下两种操作之一：

使用动态类 ID 而非静态类 ID。
在使用 HTML 小应用程序时或者在将 JNLP 描述符用于 JNLP 时，使用 java_version。

JDK-8147457（非公共）

Bug 修复

本发行版包含对安全漏洞的修复。有关详细信息，请参阅 Oracle Java SE Critical Patch Update Advisory。有关此发行版中包含的 Bug 修复列表，请参阅 JDK 8u101 Bug 修复页。
Java 到期日期

8u101 的到期日期为 2016 年 10 月 19 日。只要具有安全漏洞修复的新发行版可用，Java 就会到期。对于无法访问 Oracle 服务器的系统，辅助机制将使此 JRE（版本 8u101）于 2016 年 11 月 19 日到期。满足两个条件中的任何一个（新发行版可用或到达到期日期）后，Java 将向用户提供其他警告和提醒以更新到较新版本。