Upstream update available: openjdk21 21.0.8 → 21.0.11 #1

New issue

Closed

opened 2026-05-02 18:58:43 +03:00 by sbelikov · 1 comment

sbelikov commented 2026-05-02 18:58:43 +03:00

Owner

Copy link

Upstream update available: openjdk21 21.0.8 → 21.0.11

Package

• Package: openjdk21
• RPM name: openjdk21
• Branch: niceos-5.2
• Current EVR: 21.0.8-1
• Update class: patch
• Compare method: python_rpm
• Update policy: leaf
• Risk tags: github-upstream

Upstream

• Upstream type: github
• Upstream project: openjdk/jdk21u
• Upstream URL: github.com — jdk21u
• Detected version: 21.0.11
• Tag/release: jdk-21.0.11-ga
• Source: github_tag
• Published: -
• Release URL: github.com — jdk 21.0.11 ga
• Source URL: api.github.com — jdk 21.0.11 ga
• Pre-release: False

Signals

• Security-relevant keywords detected: False
• Policy blocked: False
• Policy reason: -
• Labels: ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github

NiceSOFT AI preliminary stability analysis

1. Краткий вывод

Обновление openjdk21 с 21.0.8 до 21.0.11 выглядит как patch-релиз в LTS-ветке upstream и не заблокировано статической политикой. При этом upstream-обновление заметно крупное по объёму изменений, поэтому для НАЙС.ОС его стоит рассматривать только как manual review кандидат, а не как blind fast-track.
Для стабильного enterprise-дистрибутива это скорее candidate после валидации, чем issue-only; но без локальной проверки TLS/crypto/timezone и пересборки пакетов — не рекомендую автоматический merge.

2. Риск для НАЙС.ОС

Оценка: medium

Аргументы:

• это patch-обновление в LTS-ветке, что обычно совместимо со stable-политикой;
• upstream jdk21u находится в режиме rampdown и принимает только критические изменения, но сам релиз достаточно крупный по охвату (160 commits, 1,007 files changed);
• релиз включает изменения поведения по умолчанию в TLS, crypto, tzdata, G1 GC, keytool/jarsigner/JAAS, что может затронуть enterprise-нагрузки и интеграции;
• для RHEL-like дистрибутива это требует проверки на регрессии, но явного признака incompatibility/block в источниках не найдено.

3. Что изменилось upstream

Проверяемые изменения из официальных release notes JDK 21.0.11:

• Обновление IANA tzdata до 2026a.
• Изменения, связанные с:
  • FreeBSD compatibility,
  • Moldova transition-time data,
  • removal of default installation of right TZif files,
  • runtime leap-second toggle,
  • integer-overflow fixes.
• Для TLSv1.3 добавлен настраиваемый параметр:
  • jdk.tls.server.newSessionTicketCount (default 1).
• Улучшена обработка паролей в keytool, jarsigner и JAAS text callbacks, чтобы пароли не отображались в сценариях с redirected output.
• Для G1 отмечено включение поддержки UseGCOverheadLimit.
• Добавлены ограничения криптоалгоритмов через jdk.crypto.disabledAlgorithms.
• В релизе также указаны многочисленные bug fixes в client-libs, HotSpot, security libs и XML/JAXP.
• GitHub compare между jdk-21.0.10-ga и jdk-21.0.11-ga показывает 160 commits и 1,007 files changed, что указывает на широкий maintenance merge.

4. Security/CVE

Подтверждённых CVE, перечисленных в просмотренных публичных источниках, не найдено.

Что подтверждено:

• Oracle release notes прямо говорят, что релиз содержит fixes for security vulnerabilities из Oracle Critical Patch Update.
• При этом в reviewed release notes нет публичного списка CVE, который можно было бы корректно перечислить без догадок.

Итого: known security fixes есть, конкретные CVE — unknown/manual review.

5. ABI/API/CLI/config риск

Оценка: medium

Проверяемые риски:

• CLI/behavior risk: изменено поведение keytool, jarsigner, JAAS при redirected output; это может повлиять на скрипты и автоматизацию.
• Config risk: добавлены/активированы новые настройки:
  • jdk.tls.server.newSessionTicketCount,
  • jdk.crypto.disabledAlgorithms.
• Runtime behavior risk:
  • изменения TLS могут влиять на сессии и совместимость с клиентами/серверами;
  • обновление tzdata меняет поведение времени;
  • G1 UseGCOverheadLimit может повлиять на реакцию JVM под memory pressure.
• ABI/API removal: подтверждённых данных о removal ABI/API/CLI в просмотренных источниках нет.

6. Риск для RPM-сборки и dist-git

Что проверить перед merge:

• SPECS/
  • bump версии/релиза на 21.0.11;
  • проверить, не нужны ли правки Release, Epoch, Provides/Obsoletes;
  • убедиться, что downstream-патчи всё ещё применяются чисто.
• SOURCES/
  • обновить source lock/checksum;
  • проверить, не изменилась ли схема получения upstream tarball;
  • сверить соответствие source_url и контрольных сумм.
• METADATA/ и SBOM/
  • обновить метаданные и SBOM, если они у вас синхронизируются с upstream source set.
• Патчи
  • оценить, не устарели ли vendor patches после перехода с 21.0.8 на 21.0.11;
  • особенно проверить патчи вокруг TLS, security providers, timezone data, GC.
• BuildRequires / Requires
  • сверить, не появились ли новые build-time зависимости;
  • проверить, не изменилась ли совместимость с инструментами сборки.
• %check
  • обязательно прогнать тесты, если они есть в spec;
  • отдельно проверить JDK smoke tests/packaging tests, если доступны.
• Source integrity
  • refresh source lock / checksum files;
  • убедиться, что public dist-git по-прежнему не требует ручного внесения upstream archives.

7. Риск для системы и зависимых компонентов

Обновление может затронуть:

• TLS-стек и сетевые клиенты/серверы, если приложения используют JSSE/TLSv1.3;
• криптографические операции и приложения с собственными policy-настройками;
• временные зоны и расписания из-за tzdata 2026a;
• скрипты/автоматизацию, которые парсят вывод keytool/jarsigner/JAAS;
• поведение JVM под нагрузкой из-за изменений в G1;
• зависимые Java-приложения, если они чувствительны к security-default изменениям или используют сертификаты/цепочки, затронутые новыми trust/distrust правилами.

Reverse dependencies могут быть затронуты не на уровне ABI, а на уровне runtime behavior и интеграционных ожиданий.

8. Проверки мейнтейнера

Чеклист перед PR/merge:

1. Подтвердить, что upstream source соответствует jdk-21.0.11-ga.
2. Обновить SPECS на 21.0.11 и проверить все downstream patch hunks.
3. Пересчитать/обновить source lock, checksums и SBOM.
4. Проверить сборку на чистом mock/chroot.
5. Прогнать %check и базовые smoke tests JVM.
6. Отдельно проверить:
   • TLS handshake,
   • keytool,
   • jarsigner,
   • timezone handling,
   • crypto policy interaction.
7. Проверить, не ломаются ли reverse dependencies/пакеты, которые используют system JDK.
8. Убедиться, что в changelog/issue есть ссылка на upstream release notes.
9. Если есть downstream-специфичные патчи, проверить необходимость rebasing.
10. Зафиксировать результат manual review в issue.

9. Рекомендация

blocked manual review

10. Источники

• OpenJDK jdk21u repository
• OpenJDK jdk21u release tag jdk-21.0.11-ga
• OpenJDK compare jdk-21.0.10-ga...jdk-21.0.11-ga
• Oracle Java SE 21.0.11 release notes
• Oracle Critical Patch Update — April 2026
• NАЙС.ОС dist-git: openjdk21
• OpenJDK JDK 21u schedule / rampdown info

Источники, найденные web_search

1. github.com — openjdk
2. github.com — releases
3. github.com — jfx21u
4. github.com — openjdk
5. github.com — JetBrainsRuntime
6. github.com — jdk
7. github.com — corretto 21
8. github.com — graalvm community jdk21u
9. github.com — releases
10. github.com — releases
11. github.com — releases
12. github.com — 4583

Upstream release notes / description

No release notes were available from the upstream API.

NiceOS maintainer checklist

• Confirm that the detected version is a stable upstream release.
• Check upstream changelog for security fixes, ABI/API changes and build-system changes.
• Check ABI/API compatibility and reverse dependencies.
• Download source into NiceOS lookaside storage.
• Update Version and related fields in SPECS/*.spec only if policy allows it.
• Regenerate SOURCES/sources.lock.json, manifests, metadata and SBOM.
• Build SRPM/RPM in a clean NiceOS buildroot.
• Run package smoke tests.
• Link PR/build logs and close this issue after update or triage.

Bot metadata

• Tool: niceos_upstream_monitor.py 2.1.2-openai-deep
• Generated at: 2026-05-02T15:58:29Z

<!-- niceos-upstream-monitor:fingerprint=upstream-update:openjdk21:21.0.11 --> <!-- niceos-upstream-monitor:package=openjdk21 --> <!-- niceos-upstream-monitor:current=21.0.8 --> <!-- niceos-upstream-monitor:latest=21.0.11 --> # Upstream update available: `openjdk21` `21.0.8` → `21.0.11` ## Package - Package: `openjdk21` - RPM name: `openjdk21` - Branch: `niceos-5.2` - Current EVR: `21.0.8-1` - Update class: `patch` - Compare method: `python_rpm` - Update policy: `leaf` - Risk tags: `github-upstream` ## Upstream - Upstream type: `github` - Upstream project: `openjdk/jdk21u` - Upstream URL: <a href="https://github.com/openjdk/jdk21u" target="_blank" rel="noopener noreferrer">github.com — jdk21u</a> - Detected version: `21.0.11` - Tag/release: `jdk-21.0.11-ga` - Source: `github_tag` - Published: `-` - Release URL: <a href="https://github.com/openjdk/jdk21u/releases/tag/jdk-21.0.11-ga" target="_blank" rel="noopener noreferrer">github.com — jdk 21.0.11 ga</a> - Source URL: <a href="https://api.github.com/repos/openjdk/jdk21u/tarball/refs/tags/jdk-21.0.11-ga" target="_blank" rel="noopener noreferrer">api.github.com — jdk 21.0.11 ga</a> - Pre-release: `False` ## Signals - Security-relevant keywords detected: `False` - Policy blocked: `False` - Policy reason: `-` - Labels: `ai-summary, bot, needs-build, needs-triage, priority/medium, update/patch, upstream-update, upstream/github` ## NiceSOFT AI preliminary stability analysis ### 1. Краткий вывод Обновление `openjdk21` с `21.0.8` до `21.0.11` выглядит как **patch**-релиз в LTS-ветке upstream и **не заблокировано статической политикой**. При этом upstream-обновление заметно крупное по объёму изменений, поэтому для НАЙС.ОС его стоит рассматривать только как **manual review** кандидат, а не как blind fast-track. Для стабильного enterprise-дистрибутива это скорее **candidate после валидации**, чем issue-only; но без локальной проверки TLS/crypto/timezone и пересборки пакетов — **не рекомендую автоматический merge**. ### 2. Риск для НАЙС.ОС **Оценка: medium** Аргументы: - это **patch**-обновление в LTS-ветке, что обычно совместимо со stable-политикой; - upstream `jdk21u` находится в режиме rampdown и принимает только критические изменения, но сам релиз **достаточно крупный** по охвату (`160 commits`, `1,007 files changed`); - релиз включает изменения поведения по умолчанию в `TLS`, `crypto`, `tzdata`, `G1 GC`, `keytool/jarsigner/JAAS`, что может затронуть enterprise-нагрузки и интеграции; - для RHEL-like дистрибутива это требует проверки на регрессии, но явного признака incompatibility/block в источниках не найдено. ### 3. Что изменилось upstream Проверяемые изменения из официальных release notes JDK 21.0.11: - Обновление **IANA tzdata до 2026a**. - Изменения, связанные с: - FreeBSD compatibility, - Moldova transition-time data, - removal of default installation of `right` TZif files, - runtime leap-second toggle, - integer-overflow fixes. - Для `TLSv1.3` добавлен настраиваемый параметр: - `jdk.tls.server.newSessionTicketCount` (default `1`). - Улучшена обработка паролей в `keytool`, `jarsigner` и JAAS text callbacks, чтобы пароли не отображались в сценариях с redirected output. - Для `G1` отмечено включение поддержки `UseGCOverheadLimit`. - Добавлены ограничения криптоалгоритмов через `jdk.crypto.disabledAlgorithms`. - В релизе также указаны многочисленные bug fixes в client-libs, HotSpot, security libs и XML/JAXP. - GitHub compare между `jdk-21.0.10-ga` и `jdk-21.0.11-ga` показывает **160 commits** и **1,007 files changed**, что указывает на широкий maintenance merge. ### 4. Security/CVE Подтверждённых CVE, перечисленных в просмотренных публичных источниках, **не найдено**. Что подтверждено: - Oracle release notes прямо говорят, что релиз содержит fixes for security vulnerabilities из Oracle Critical Patch Update. - При этом в reviewed release notes **нет публичного списка CVE**, который можно было бы корректно перечислить без догадок. Итого: **known security fixes есть, конкретные CVE — unknown/manual review**. ### 5. ABI/API/CLI/config риск **Оценка: medium** Проверяемые риски: - **CLI/behavior risk**: изменено поведение `keytool`, `jarsigner`, JAAS при redirected output; это может повлиять на скрипты и автоматизацию. - **Config risk**: добавлены/активированы новые настройки: - `jdk.tls.server.newSessionTicketCount`, - `jdk.crypto.disabledAlgorithms`. - **Runtime behavior risk**: - изменения `TLS` могут влиять на сессии и совместимость с клиентами/серверами; - обновление `tzdata` меняет поведение времени; - `G1 UseGCOverheadLimit` может повлиять на реакцию JVM под memory pressure. - **ABI/API removal**: подтверждённых данных о removal ABI/API/CLI в просмотренных источниках **нет**. ### 6. Риск для RPM-сборки и dist-git Что проверить перед merge: - `SPECS/` - bump версии/релиза на `21.0.11`; - проверить, не нужны ли правки `Release`, `Epoch`, `Provides/Obsoletes`; - убедиться, что downstream-патчи всё ещё применяются чисто. - `SOURCES/` - обновить source lock/checksum; - проверить, не изменилась ли схема получения upstream tarball; - сверить соответствие `source_url` и контрольных сумм. - `METADATA/` и `SBOM/` - обновить метаданные и SBOM, если они у вас синхронизируются с upstream source set. - Патчи - оценить, не устарели ли vendor patches после перехода с `21.0.8` на `21.0.11`; - особенно проверить патчи вокруг TLS, security providers, timezone data, GC. - `BuildRequires` / `Requires` - сверить, не появились ли новые build-time зависимости; - проверить, не изменилась ли совместимость с инструментами сборки. - `%check` - обязательно прогнать тесты, если они есть в spec; - отдельно проверить JDK smoke tests/packaging tests, если доступны. - Source integrity - refresh source lock / checksum files; - убедиться, что public dist-git по-прежнему не требует ручного внесения upstream archives. ### 7. Риск для системы и зависимых компонентов Обновление может затронуть: - **TLS-стек** и сетевые клиенты/серверы, если приложения используют `JSSE`/`TLSv1.3`; - **криптографические операции** и приложения с собственными policy-настройками; - **временные зоны и расписания** из-за `tzdata 2026a`; - **скрипты/автоматизацию**, которые парсят вывод `keytool`/`jarsigner`/JAAS; - **поведение JVM под нагрузкой** из-за изменений в `G1`; - зависимые Java-приложения, если они чувствительны к security-default изменениям или используют сертификаты/цепочки, затронутые новыми trust/distrust правилами. Reverse dependencies могут быть затронуты не на уровне ABI, а на уровне **runtime behavior** и интеграционных ожиданий. ### 8. Проверки мейнтейнера Чеклист перед PR/merge: 1. Подтвердить, что upstream source соответствует `jdk-21.0.11-ga`. 2. Обновить `SPECS` на `21.0.11` и проверить все downstream patch hunks. 3. Пересчитать/обновить source lock, checksums и SBOM. 4. Проверить сборку на чистом mock/chroot. 5. Прогнать `%check` и базовые smoke tests JVM. 6. Отдельно проверить: - TLS handshake, - `keytool`, - `jarsigner`, - timezone handling, - crypto policy interaction. 7. Проверить, не ломаются ли reverse dependencies/пакеты, которые используют system JDK. 8. Убедиться, что в changelog/issue есть ссылка на upstream release notes. 9. Если есть downstream-специфичные патчи, проверить необходимость rebasing. 10. Зафиксировать результат manual review в issue. ### 9. Рекомендация **blocked manual review** ### 10. Источники - <a href="https://github.com/openjdk/jdk21u" target="_blank" rel="noopener noreferrer">OpenJDK `jdk21u` repository</a> - <a href="https://github.com/openjdk/jdk21u/releases/tag/jdk-21.0.11-ga" target="_blank" rel="noopener noreferrer">OpenJDK `jdk21u` release tag `jdk-21.0.11-ga`</a> - <a href="https://github.com/openjdk/jdk21u/compare/jdk-21.0.10-ga...jdk-21.0.11-ga" target="_blank" rel="noopener noreferrer">OpenJDK compare `jdk-21.0.10-ga...jdk-21.0.11-ga`</a> - <a href="https://www.oracle.com/java/technologies/javase/21-0-11-relnotes.html" target="_blank" rel="noopener noreferrer">Oracle Java SE 21.0.11 release notes</a> - <a href="https://www.oracle.com/security-alerts/cpuapr2026.html" target="_blank" rel="noopener noreferrer">Oracle Critical Patch Update — April 2026</a> - <a href="https://specs.niceos.ru/rpms/openjdk21" target="_blank" rel="noopener noreferrer">NАЙС.ОС dist-git: `openjdk21`</a> - <a href="https://wiki.openjdk.org/display/JDKUpdates/JDK+21u" target="_blank" rel="noopener noreferrer">OpenJDK JDK 21u schedule / rampdown info</a> ### Источники, найденные web_search 1. <a href="https://github.com/openjdk/" target="_blank" rel="noopener noreferrer">github.com — openjdk</a> 2. <a href="https://github.com/openjdk/jdk/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 3. <a href="https://github.com/openjdk/jfx21u" target="_blank" rel="noopener noreferrer">github.com — jfx21u</a> 4. <a href="https://github.com/openjdk" target="_blank" rel="noopener noreferrer">github.com — openjdk</a> 5. <a href="https://github.com/JetBrains/JetBrainsRuntime" target="_blank" rel="noopener noreferrer">github.com — JetBrainsRuntime</a> 6. <a href="https://github.com/openjdk/jdk" target="_blank" rel="noopener noreferrer">github.com — jdk</a> 7. <a href="https://github.com/corretto/corretto-21" target="_blank" rel="noopener noreferrer">github.com — corretto 21</a> 8. <a href="https://github.com/graalvm/graalvm-community-jdk21u" target="_blank" rel="noopener noreferrer">github.com — graalvm community jdk21u</a> 9. <a href="https://github.com/ibmruntimes/openj9-openjdk-jdk21/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 10. <a href="https://github.com/corretto/corretto-21/releases" target="_blank" rel="noopener noreferrer">github.com — releases</a> 11. <a href="https://github.com/adoptium/temurin21-binaries/releases/" target="_blank" rel="noopener noreferrer">github.com — releases</a> 12. <a href="https://github.com/pmd/pmd/issues/4583" target="_blank" rel="noopener noreferrer">github.com — 4583</a> ## Upstream release notes / description _No release notes were available from the upstream API._ ## NiceOS maintainer checklist - [ ] Confirm that the detected version is a stable upstream release. - [ ] Check upstream changelog for security fixes, ABI/API changes and build-system changes. - [ ] Check ABI/API compatibility and reverse dependencies. - [ ] Download source into NiceOS lookaside storage. - [ ] Update `Version` and related fields in `SPECS/*.spec` only if policy allows it. - [ ] Regenerate `SOURCES/sources.lock.json`, manifests, metadata and SBOM. - [ ] Build SRPM/RPM in a clean NiceOS buildroot. - [ ] Run package smoke tests. - [ ] Link PR/build logs and close this issue after update or triage. ## Bot metadata - Tool: `niceos_upstream_monitor.py 2.1.2-openai-deep` - Generated at: `2026-05-02T15:58:29Z`

sbelikov added the

ai-summary

bot

needs-build

needs-triage

priority/medium

update/patch

upstream-update

upstream/github

labels 2026-05-02 18:58:43 +03:00

sbelikov commented 2026-05-02 19:35:24 +03:00

Author

Owner

Copy link

Package version is now 21.0.11 and target version was 21.0.11. Closing as resolved.\n\n_Closed by niceos_upstream_monitor.py 1.5 at 2026-05-02T16:35:23Z._

Package version is now `21.0.11` and target version was `21.0.11`. Closing as resolved.\n\n_Closed by `niceos_upstream_monitor.py 1.5` at `2026-05-02T16:35:23Z`._

sbelikov closed this issue 2026-05-02 19:35:25 +03:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

niceos-5.2

update-openjdk21-21.0.11

No results found.

Labels

Clear labels   

ai-summary

Issue contains local NiceSOFT AI generated preliminary analysis

  

bot

Created by automation

  

needs-build

Needs build verification

  

needs-triage

Needs maintainer triage

  

priority/medium

Medium priority

  

update/patch

Patch-level update

  

upstream-update

New upstream version is available

  

upstream/github

GitHub upstream

No labels

ai-summary

bot

needs-build

needs-triage

priority/medium

update/patch

upstream-update

upstream/github

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

rpms/openjdk21#1

No description provided.