Javaの抱える7月28日問題は大丈夫？

始めまして、猫又っす。

UPSソフトのPowerChute Business Edition v6.x.xで使用している
証明書の有効期限切れっていうがあります。
詳細はこちら ↓
http://www.apcc.com/solutions/display.cfm?id=40360141-5056-9170-D3DB0628D7D92F2B&ISOCountryCode=jp

ではでは。

猫又さん、情報ありがとうございます。
なるほど、他でも告知されているところがありましたね。検索してみましたが、PowerChute以外には国内で発表されているところは見つけられませんでした。他のパッケージは大丈夫なのでしょうか？JCEを使ってなければ関係ないのですが、他社がどのくらいJCEを使っているのか知る由もないので、影響の度合いについて何とも言えません。

　APC社が情報公開したのが4月14日です。この情報を元にこのコラムを書かれたのでしょうか。
　それとも、Sun社から何かの通知を受けたのでしょうか。この点が非常に気になります。

JCE問題対応中さん、

エントリは、この問題が当社製品のASTERIAの社内テストで明らかになり緊急対処を行なったことを受けて書いたものです。

Sunからは、今のところ告知は受けていません。本来はSunからの告知が出てしかるべきと思いますが、もう時間もないことなので少しでも早く多くの人にお知らせできればと考え、ここで書かせてもらいました。

いずれにしても、少しでも多くのシステムで検証されることを願っています。

参考までに、Sunの英語のフォーラムにこんなスレッドがあります。
http://forum.java.sun.com/thread.jspa?messageID=3754181
ここのタイトルでは6月28日にexpireと言っていますが、そのレスポンスを辿ると「On which date will the certificate expire exactly in JCE 1.2.1? According to our tests, JCE 1.2.1 will work just fine on June 29th, 2005 but not on August 8th, 2005. I've heard that the expiration was actually one month after June 28th, 2005 but I couldn't find any reference on the web.」という記述があります。要点を意訳すると、「2005/06/29に日付を設定してみてもOKだったけど、2005/08/05にしてみたらダメだった。私は、2005/06/28の一ヵ月後が期限切れの日付と聞いたんだけど。」ということです。

Javaシステムを開発している者です。
OracleJDeveloper（Oracle9i付属）のフォルダ配下にjce1_2_1.jarがありました。
このJDeveloperでビルドをしたシステムも影響を受けるのでしょうか？
Oracleには何も出ていないようで、対応策がわかりません。何か情報があれば提供をいただけますでしょうか･･･。

はじめまして。私も今になって噂を聞きつけ、この問題の調査を行っているものの一人です。

おっしゃられる通り、公式アナウンスがなくそれ以外の情報も非常に少ない状況です(英語の情報もほとんどありません。むしろ日本語の方が充実してます...)ので、私が知る限りを参考までに記述させていただきます。
(なお、今回の調査ではASTERIA のアナウンス情報も参考にさせていただいています。詳しいレポートで非常に参考になりました。ありがとうございました。)

使っているプログラムがJCE1.2.1 に影響を受けるかどうか、ですが、まず最初に、JCE 1.2.1 (と 1.2.2)はもともと単体配布されているもので、このバージョンのライブラリが対象としているJDK1.3以前では標準のライブラリではないようです。(JDK1.4以降で正式に入ります。)よって、JDK自体が勝手に使う、ということはなく、プログラム内に何らかの形で「明示的に」記述しない限り、使われることはないと思います。

また、JCE ライブラリは以下のクラスで構成されているようです。
- javax.crypto.*
- javax.crypto.interface.*
- javax.crypto.spec.*
(以上、jce1_2_1.jar 内)
- com.sun.crypto.provider.* (sunjce_provider.jar 内)
(JCE1.2.1 を構成するファイルはあと2つ、
- US_export_policy.jar
- local_policy.jar
がありますが、この中にはclassファイルは入っていませんでした。)

以上から、もしアプリケーションの中で jce1_2_1.jar を含んでいる場合、アプリケーションソースが確認できる状況であれば、ソースをみて上記のライブラリがインポートされているかどうか、を確認すればよいと思います。

なお、たとえ開発ツールとの関係ですが、jce1_2_1.jar が含まれていたとしても、作成したアプリケーションに即影響するものではないと思います。
開発ツールが自動的にコーディングする部分などが該当する場合はアウトですが、少なくとも、アプリケーションを配布するときに jce1_2_1.jar を同梱しなくてもよい状況であれば、そのアプリ自体には問題ないでしょう。
また、ソースが確認できないライブラリ、アプリケーションについては、jce1_2_1.jar が含まれているかどうかを確認後、製造元に問い合わせるしかないでしょうね...。

私も JCE 1.2.1 問題を追いかけているものです。
どこかに、問題のある製品をまとめたページはないですかねぇ?

IPA(情報処理推進機構)で「JCE 1.2.1 の証明書期限切れに関する注意喚起」が公開されていますので、何かの参考になれば。。。http://www.ipa.go.jp/security/vuln/20050708_jce.html

JPAの話を受けてCNETが注意喚起していますね。
http://japan.zdnet.com/news/sec/story/0,2000052528,20085177,00.htm

どこかのコンピュータ誌と違って、
APCだけをやり玉にしていない点が好感触ですね ;-b

システム開発子さん、takhさん、135さん、あきらさん、takaさん、
コメント、情報ありがとうございます。

takhさん、
詳細の調査情報をありがとうございます。takhさんのサイトに最新エントリからリンクを張らせてもらいました。

taka さんへ。

> どこかのコンピュータ誌と違って、

それって、日経 IT Proのことですか？
私は、ちゃんとAPCのことを明示していて、かえって
好印象だったんですが...。間違っていたらすいませ
ん。記事には分かっている範囲で具体的に製品名を
書いて頂いた方が助かるんですが...。

ではでは。

次は、2011/3/01 ですが、流石に後6年間使用し続ける人はいないと思われます。

弊社にて解っている製品です。
Power Chute Business Edition　6.x.x
ASTERIA　R2
-----------------------------------
Interstage Application Server　4,5
Interstage Apworks、
Interstage Apcoordinator、
Interstage CollaborationRing TPM、
Interstage関連製品のSOAPにおける証明書期限切れによるSSL機能の障害。
--------------------------------------
Cosminexus Web Contents Generator
--------------------------------------
Oracleについては、調査中ですが、日付を変えてＤＢは正常に動作しましたので、ＡＳTOPLINKなどを試す予定です。
ご参考までに。

IBM から以下の情報がリリースされていました。もう終わった話かと思っていたよ...orz

2006年5月19日以降 Javaライブラリー「JCE1.2.1」の一部機能が正常に動作しなくなる問題について
http://www-06.ibm.com/jp/domino01/mkt/WWSWPRD.nsf/doc/004D7C58