オルタナティブ・ブログ > Alternative 笑門来福 >

ソフトウェアは私たちに幸福をもたらすことができるのか

Javaの抱える7月28日問題は大丈夫?

»

 特定の条件に合致するJavaベースのソフトウェアが、今年の7月28日以降に正常に動かなくなる可能性があります。

 その条件とは、JCE (Java Cryptography Extension) 1.2.1を使用しているソフトウェアです。インフォテリアでも以前に出荷していたASTERIA R2が該当するため、お客様に更新方法をご案内しました。ASTERIAは既に200社近い企業で採用いただいていますが、旧バージョンのR2で稼動しているところは多くなく、提供先も把握できているので大きな問題ではありません。しかし、この問題はASTERIAに限らず世の中にある様々なJavaベースのシステムで障害を発生させる可能性があるので、1ケースでも多く事前に障害を回避できるようにと考え、ここでお知らせします。

 このJCEの問題は、具体的にはJCE 1.2.1をサインした証明書が2005年7月28日に期限切れとなり、JCEの特定のメソッドが正常に作動しなくなるものです。結果として、JCEを含んだソフトウェアが正しく機能しなくなることがあります。なお、この問題はJCE 1.2.2で修正されています。(Sunのドキュメント:ただし、証明書が切れる日付は明言されていません)

 この問題は、当然パッケージソフトだけでなくJCE 1.2.1を使って開発された個別システムにも該当します。JCEは暗号化関係の処理を行うための拡張モジュールで、例えばSSL対応のWebサイトなどでも使われることがあります。既にJCEをアップデート済みのソフトウェアやシステムは問題ありませんが、JCE 1.2.1を含んで出荷されたまま使用されたり、JCE 1.2.1を使ってカットオーバーしたままメンテナンスできていないシステムなども少なからず存在するのではないでしょうか。

 当方で確認したところ、該当するJAR内部のクラスファイルのタイムスタンプは、JCE 1.2.1で2000/07/28、JCE 1.2.2で2002/06/27となっており※1、この約2年の間に開発され現在も使用されているソフトやシステムがこの問題に遭遇する危険性があります。あなたの開発したシステム、使っているシステムは大丈夫でしょうか?JCE 1.2.1を使用していないかどうかを再確認することをお勧めします。

※1 厳密にいうと、このタイムスタンプはビルド日であり、リリース日はその後となります。JCE 1.2.1のリリース日は、2000年9月という記録がありますので、ビルドからリリースまでは1~2ヶ月と推察されます。

Comment(15)

コメント

猫又さん、情報ありがとうございます。
なるほど、他でも告知されているところがありましたね。検索してみましたが、PowerChute以外には国内で発表されているところは見つけられませんでした。他のパッケージは大丈夫なのでしょうか?JCEを使ってなければ関係ないのですが、他社がどのくらいJCEを使っているのか知る由もないので、影響の度合いについて何とも言えません。

JCE問題対応中

APC社が情報公開したのが4月14日です。この情報を元にこのコラムを書かれたのでしょうか。
 それとも、Sun社から何かの通知を受けたのでしょうか。この点が非常に気になります。

JCE問題対応中さん、

エントリは、この問題が当社製品のASTERIAの社内テストで明らかになり緊急対処を行なったことを受けて書いたものです。

Sunからは、今のところ告知は受けていません。本来はSunからの告知が出てしかるべきと思いますが、もう時間もないことなので少しでも早く多くの人にお知らせできればと考え、ここで書かせてもらいました。

いずれにしても、少しでも多くのシステムで検証されることを願っています。

参考までに、Sunの英語のフォーラムにこんなスレッドがあります。
http://forum.java.sun.com/thread.jspa?messageID=3754181
ここのタイトルでは6月28日にexpireと言っていますが、そのレスポンスを辿ると「On which date will the certificate expire exactly in JCE 1.2.1? According to our tests, JCE 1.2.1 will work just fine on June 29th, 2005 but not on August 8th, 2005. I've heard that the expiration was actually one month after June 28th, 2005 but I couldn't find any reference on the web.」という記述があります。要点を意訳すると、「2005/06/29に日付を設定してみてもOKだったけど、2005/08/05にしてみたらダメだった。私は、2005/06/28の一ヵ月後が期限切れの日付と聞いたんだけど。」ということです。

システム開発子

Javaシステムを開発している者です。
OracleJDeveloper(Oracle9i付属)のフォルダ配下にjce1_2_1.jarがありました。
このJDeveloperでビルドをしたシステムも影響を受けるのでしょうか?
Oracleには何も出ていないようで、対応策がわかりません。何か情報があれば提供をいただけますでしょうか・・・。

takh

はじめまして。私も今になって噂を聞きつけ、この問題の調査を行っているものの一人です。

おっしゃられる通り、公式アナウンスがなくそれ以外の情報も非常に少ない状況です(英語の情報もほとんどありません。むしろ日本語の方が充実してます...)ので、私が知る限りを参考までに記述させていただきます。
(なお、今回の調査ではASTERIA のアナウンス情報も参考にさせていただいています。詳しいレポートで非常に参考になりました。ありがとうございました。)

使っているプログラムがJCE1.2.1 に影響を受けるかどうか、ですが、まず最初に、JCE 1.2.1 (と 1.2.2)はもともと単体配布されているもので、このバージョンのライブラリが対象としているJDK1.3以前では標準のライブラリではないようです。(JDK1.4以降で正式に入ります。)よって、JDK自体が勝手に使う、ということはなく、プログラム内に何らかの形で「明示的に」記述しない限り、使われることはないと思います。

また、JCE ライブラリは以下のクラスで構成されているようです。
- javax.crypto.*
- javax.crypto.interface.*
- javax.crypto.spec.*
(以上、jce1_2_1.jar 内)
- com.sun.crypto.provider.* (sunjce_provider.jar 内)
(JCE1.2.1 を構成するファイルはあと2つ、
- US_export_policy.jar
- local_policy.jar
がありますが、この中にはclassファイルは入っていませんでした。)

以上から、もしアプリケーションの中で jce1_2_1.jar を含んでいる場合、アプリケーションソースが確認できる状況であれば、ソースをみて上記のライブラリがインポートされているかどうか、を確認すればよいと思います。

なお、たとえ開発ツールとの関係ですが、jce1_2_1.jar が含まれていたとしても、作成したアプリケーションに即影響するものではないと思います。
開発ツールが自動的にコーディングする部分などが該当する場合はアウトですが、少なくとも、アプリケーションを配布するときに jce1_2_1.jar を同梱しなくてもよい状況であれば、そのアプリ自体には問題ないでしょう。
また、ソースが確認できないライブラリ、アプリケーションについては、jce1_2_1.jar が含まれているかどうかを確認後、製造元に問い合わせるしかないでしょうね...。

私も JCE 1.2.1 問題を追いかけているものです。
どこかに、問題のある製品をまとめたページはないですかねぇ?

あきら

IPA(情報処理推進機構)で「JCE 1.2.1 の証明書期限切れに関する注意喚起」が公開されていますので、何かの参考になれば。。。http://www.ipa.go.jp/security/vuln/20050708_jce.html

システム開発子さん、takhさん、135さん、あきらさん、takaさん、
コメント、情報ありがとうございます。

takhさん、
詳細の調査情報をありがとうございます。takhさんのサイトに最新エントリからリンクを張らせてもらいました。

猫又にゃぉ助

taka さんへ。

> どこかのコンピュータ誌と違って、

それって、日経 IT Proのことですか?
私は、ちゃんとAPCのことを明示していて、かえって
好印象だったんですが...。間違っていたらすいませ
ん。記事には分かっている範囲で具体的に製品名を
書いて頂いた方が助かるんですが...。

ではでは。

JCE問題対応中

次は、2011/3/01 ですが、流石に後6年間使用し続ける人はいないと思われます。

こばちゃん

弊社にて解っている製品です。
Power Chute Business Edition 6.x.x
ASTERIA R2
-----------------------------------
Interstage Application Server 4,5
Interstage Apworks、
Interstage Apcoordinator、
Interstage CollaborationRing TPM、
Interstage関連製品のSOAPにおける証明書期限切れによるSSL機能の障害。
--------------------------------------
Cosminexus Web Contents Generator
--------------------------------------
Oracleについては、調査中ですが、日付を変えてDBは正常に動作しましたので、ASTOPLINKなどを試す予定です。
ご参考までに。

猫又にゃぉ助

IBM から以下の情報がリリースされていました。もう終わった話かと思っていたよ...orz

2006年5月19日以降 Javaライブラリー「JCE1.2.1」の一部機能が正常に動作しなくなる問題について
http://www-06.ibm.com/jp/domino01/mkt/WWSWPRD.nsf/doc/004D7C58

コメントを投稿する