JDK 26 翻车了？发布不到 35 天，紧急发布 26.0.1 版本

公告：“业余草”微信公众号提供免费CSDN下载服务(只下Java资源)，关注业余草微信公众号，添加作者微信：xttblog2，发送下载链接帮助你免费下载！
本博客日IP超过2000，PV 3000 左右，急需赞助商。
极客时间所有课程通过我的二维码购买后返现24元微信红包，请加博主新的微信号：xttblog2，之前的微信号好友位已满，备注：返现
受密码保护的文章请关注“业余草”公众号，回复关键字“0”获得密码
所有面试题(java、前端、数据库、springboot等)一网打尽，请关注文末小程序

【腾讯云】1核2G5M轻量应用服务器50元首年，高性价比，助您轻松上云

JDK 26 翻车？发布不到 35 天，紧急发布 26.0.1 版本。

最近几天 AI 比较火热，新版本模型轮番“上映”，我也跟着写了好几篇与 AI 方面相关的内容或文章了，导致邮箱里收到的不少订阅没来得及查阅。今天，突然一看，多达几十封未读邮件。

大致扫了一眼，发现JDK 26 发布不到一个月就紧急更新 26.0.1，这其中到底是发生了什么？

根据 OpenJDK 和 Oracle 官网可知，2026 年 4 月 21 日，Oracle 正式发布了 JDK 26.0.1。要知道，JDK 26 的 GA（General Availability）版本才刚刚在3 月 17 日发布，当时我也写了文章《https://mp.weixin.qq.com/s/9e3Sk-7-vaQilSqMxsZFsg》进行分享。要知道，这两者相隔仅35 天。如此密集的版本迭代，在 Java 近年历史上并不多见。

这背后究竟是常规的补丁更新，还是存在必须紧急修复的“黑天鹅”问题？接下来，我们一探究竟。

不是翻车，而是节奏

正常来说，JDK 26 两个版本之间间隔这么短，给人的感觉像是翻车了。但其实，并不是。

文章配图参见我的公众号 https://mp.weixin.qq.com/s/xvRUTjNhm6f2Ctyn9Bj_rg。

因为，JDK 26.0.1 的发布时间完全符合 Oracle 既定的安全更新节奏，并非因为 JDK 26 存在重大质量事故而被迫“救火”。

要知道，自 2013 年起，Oracle 的 Java 安全发布模型就与Critical Patch Update（CPU）计划深度绑定。每年固定在1 月、4 月、7 月、10 月的第三个周二发布安全补丁。

2026 年 4 月的 CPU 定于4 月 21 日，JDK 26.0.1 作为该周期内的安全基线版本（Security Baseline），准时在这一天发布，这是正常的迭代。

换句话说，无论 JDK 26 是 3 月发布还是 2 月发布，4 月的 CPU 补丁都会按时到来。26.0.1 的“快”，更多体现的是 Java 六个月特性发布周期 + 季度安全补丁周期的叠加效应，而非产品质量失控。

26.0.1 到底修了什么问题？

根据 Oracle 官方发布说明，JDK 26.0.1 的变更可以归纳为三大类：安全漏洞修复、第三方组件升级、关键性能回归修复等。

下面，我们稍微展开说一下。

安全漏洞修复

本次 JDK 26.0.1 更新，安全漏洞修复方面，一共修复了 11 个 CVE，最高 CVSS 7.5。

作为 CPU 版本，安全修复是 26.0.1 的重头戏。Oracle 在 2026 年 4 月的 CPU 公告中披露了影响 Java SE 的多个漏洞，具体如下表格所示。

这些漏洞涵盖从网络远程攻击到本地提权的多种场景，其中3 个高危漏洞（CVSS 7.5）均可通过网络在无需认证的情况下被利用。Oracle 明确建议，不应在 2026 年 7 月 21 日的下一个 CPU 发布之后继续使用 JDK 26.0.1。

第三方组件升级

JDK 26.0.1 重点升级了 FreeType 和 Libpng。包含了对图形和图像处理相关原生库的升级。

• FreeType 升级至 2.14.2（JDK-8373290、JDK-8379158）：修复了字体渲染相关的潜在安全问题。值得注意的是，Oracle JDK 26.0.1 的第三方法律文件曾错误地标注了旧版本号，实际内置的已是 2.14.2。
• Libpng 升级至 1.6.54（JDK-8375063）：修复了 PNG 图像处理中的多个安全漏洞。

这些升级虽然看起来只是“版本号 + 1”，但对于处理用户上传文件、生成报表、渲染 UI 的应用来说，直接消除了被恶意构造的字体/图片文件攻击的风险面。

关键性能回归修复

GZIPInputStream 才是真正的“翻车”了。

如果说安全修复是“例行公事”，那么下面这个修复则值得每一位开发者关注。

JDK-8374644：Regression in GZIPInputStream performance after JDK-7036144

这是一个性能回归（Performance Regression）问题。在之前的某些版本中，JDK-7036144 对 GZIPInputStream 的修改意外导致了性能下降。对于依赖 GZIP 压缩/解压的日志处理、大数据传输、网络通信等场景，这可能意味着吞吐量骤降、延迟飙升。

虽然官方没有给出具体的性能损失百分比，但“Regression”标签在 JDK 开发中属于优先级极高的修复类型。这也说明，即便是成熟的 Java 标准库，在持续迭代中也可能引入意想不到的副作用。

Java 开发者应该怎么做？

作为一名 Java 开发者，官方也给出了以下 3 种建议。

生产环境务必升级

如果有人已经在生产环境部署了 JDK 26，请尽快安排升级到 26.0.1。这不仅是为了修复上述安全漏洞，也是为了避免 GZIP 性能回归带来的潜在影响。

Oracle 同时更新了安全基线表，明确 JDK 26 的最低安全版本就是 26.0.1+8。

但我觉得，应该没有多少人会真正的在生产环境使用 JDK 26 吧，毕竟它不是一个长 LTS 的版本。

关注时区数据更新

JDK 26.0.1 内置了IANA 2026a 时区数据，涉及面如下所示。

• 摩尔多瓦自 2022 年起使用欧盟过渡时间
• 下加利福尼亚州 1976 年前的历史时间数据修正
• 闰秒表过期时间调整

对于金融、跨境交易、日志审计等对时间精度敏感的业务，建议验证相关时区逻辑。

不必恐慌，但需重视

JDK 26 是非 LTS（短期支持）版本，官方支持周期仅到 2026 年 9 月。如果大家所在的组织有严格的稳定性要求，建议评估是否应回退到JDK 21 LTS或JDK 25 LTS，而非在短期版本上持续追新。

作为一名 Java 开发者来说，我们完全没必要恐慌，但有必要了解一下这类更新与变更。

最后

JDK 26.0.1 的“闪电发布”，某种程度上是 Java 平台现代化发布节奏的缩影。

• 特性发布快：每六个月一个版本，让新功能快速落地（如 JDK 26 带来的 HTTP/3、G1 GC 同步优化、AOT 缓存支持任意 GC 等）。
• 安全响应快：每季度一次 CPU，确保漏洞不堆积。
• 修复迭代快：性能回归、第三方库漏洞能在下一个补丁窗口内解决。

这种“快”并不意味着“不稳”，恰恰相反，官方正是通过高频的小步快跑，Java 才能在保持创新的同时，将风险控制在最小范围。

对于开发者而言，理解并适应这种节奏，建立自动化的 JDK 版本监控和升级流水线，将是未来 Java 运维的必修课。

参考来源

• Oracle JDK 26/26.0.1 官方发布说明：https://www.oracle.com/java/technologies/javase/26all-relnotes.html
• Java 发布日期与支持周期：https://ops.java/releases/
• OpenJDK 26 项目主页：https://openjdk.org/projects/jdk/26/
• Java 26 新特性解析：https://www.jrebel.com/blog/java-26
• JDK 26.0.1 独立发布说明：https://www.oracle.com/java/technologies/javase/26-0-1-relnotes.html
• Oracle 2026 年 4 月关键补丁更新公告：https://www.oracle.com/security-alerts/cpuapr2026.html
• Oracle 安全博客：https://blogs.oracle.com/security/april-2026-critical-patch-update-released
• Oracle Java 博客：https://blogs.oracle.com/java/the-arrival-of-java-26

最后，欢迎关注我的个人微信公众号：业余草（yyucao）！可加作者微信号：xttblog2。备注：“1”，添加博主微信拉你进微信群。备注错误不会同意好友申请。再次感谢您的关注！后续有精彩内容会第一时间发给您！原创文章投稿请发送至532009913@qq.com邮箱。商务合作也可添加作者微信进行联系！

本文原文出处：业余草： » JDK 26 翻车了？发布不到 35 天，紧急发布 26.0.1 版本