昨天是CPU日。 Oracle通过6月的Java重要补丁更新发布了Java SE更新25 。 在4月的最后一次重大更新之后，这是与所有其他Oracle产品一起不符合Oracle关键补丁更新计划的最后一个更新。 从2013年10月开始 ，Java安全修补程序将遵循四个年度安全发布周期。 但是不要惊慌：Oracle将保留通过Security Alert程序发布紧急“带外”安全修复程序的功能 。 此外，这是第一个不会公开更新Java SE 6系列的CPU。 如果您需要该JRE系列的更新，则需要Oracle的Java SE支持 。 走这条路将带给您Java SE 6u51。

管理摘要

该版本已经发布了一段时间，并针对Java SE产品中的修复程序解决了40个漏洞。 其中的37个漏洞无需身份验证即可远程利用，即，可以通过网络利用这些漏洞而无需用户名和密码。 其中四个适用于服务器部署（CVE-2013-2451，CVE-2013-2457，CVE-2013-2407，CVE-2013-2461）。 Oracle Java SE风险矩阵中显示了完整列表。

什么是新的？

资料来源： Oracle文件

这次不是很多。 两项小改进不会对您造成太大影响。

在运行签名的Java applet和Java Web Start应用程序之前，请检查签名证书以确保尚未将其撤消。 可以设置Java控制面板（JCP）中的高级选项来管理检查过程。 这些联机检查可能根本无法在企业环境中使用，或者会影响启动性能。 为了避免两者，现在可以将其禁用。 您应该谨慎地做出此决定，并且仅在托管环境中执行此决定，因为它会降低总体安全保护机制。

资料来源： Oracle文件

进一步，通过“更多信息”链接增强了安全对话。 每当您遇到不安全的星座时，现在都将看到7u21引入的警告对话框，其中还包含一个附加链接。

如果没有提示您更新，则应尽快执行此操作。 从java.com下载适用于您系统的JRE，并保持最新状态！

告诉我这个坏消息！

这次没有肮脏和未宣布的消息。 但同样，您还有几件事要照顾。 首先，此版本带来了新的Olson Data 2013b。 即使我们有了TZUpdater，这也是一件好事。

修复了有关签名罐子的一个重要错误。 如果使用7u21，则如果已签名的jar包含未签名的index.list条目，则可以在没有任何未签名警告的情况下加载已签名的jar，但是对于7u25，这不再适用。 要正确签名jar，必须在签名jar之前创建索引条目。 有关更多信息，请参见错误8016771 。

JDK 7u25版本在JAR清单文件中引入了权限和代码库属性。 Permissions属性用于验证RIA运行时所请求的权限级别是否与创建JAR文件时设置的权限级别相匹配。 值沙箱和所有权限均有效。 它必须匹配JNLP文件或applet标记中请求的权限级别。

Codebase属性用于将JAR的代码库限制为特定域。 将此属性设置为应用程序所在的域名或IP地址。 也可以包含端口号。 对于多个位置，请用空格分隔值。 星号（*）只能在域名的开头用作通配符。 Codebase属性的值必须与JNLP文件或applet标记中指定的代码库或访问应用程序的实际位置匹配。

如果两个或两个要求之一都不匹配，则会显示错误，并且该应用程序不会运行。 如果不存在权限或代码库属性，则会将警告写入Java控制台，并使用为applet标记或JNLP文件指定的权限/代码库。 这种行为很可能会改变，将来会受到更多限制。 如果需要更多示例，请查看SE 7技术说明 。

如果您在某个地方托管Javadoc，请确保使用最新的Javadoc Tool对其进行重新生成。 正如CVE-2013-1571 API文档中所述，由Javadoc工具生成HTML格式包含右框架，当托管在Web服务器上时，可能容易受到框架注入的影响。 如果您无法重新生成它们，请使用SDK / JRE捆绑包中未包含的新更新程序工具 。

从7u21开始，在Windows平台上，对java.lang.ProcessBuilder指定的命令字符串和java.lang.Runtime定义的exec方法的解码变得更加严格。 7u25带来了新的系统属性jdk.lang.Process.allowAmbigousCommands，该属性可用于放宽检查过程，并且可以用作受更严格验证影响的某些应用程序的解决方法。 要使用此替代方法，应该更新命令行以包含-Djdk.lang.Process.allowAmbigousCommands = true，或者Java应用程序应将系统属性jdk.lang.Process.allowAmbigousCommands设置为true。

此外，还有许多错误修复程序可以直接解决CVE。 完整的解释列表以文本形式提供 。

进一步阅读

• Java Blog上的官方公告：

  https://blogs.oracle.com/java/entry/java_se_7_update_25

• 7u25发行说明：

  http://www.oracle.com/technetwork/java/javase/7u25-relnotes-1955741.html

• 四月Java CPU概述：

  http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html

• Oracle Java SE June CPU的补丁​​程序可用性文档

  https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1560542.1

• Java SE 6下载：

  http://www.oracle.com/technetwork/java/javasebusiness/downloads/java-archive-downloads-javase6-419409.html

翻译自: https://www.javacodegeeks.com/2013/06/java-se-7-update-25-release-notes-explained.html