JVNDB-2005-000776

Java Cryptography Extension 1.2.1（JCE 1.2.1）の証明書の期限切れで 2005/07/28 以降ソフトウエアが正常に動作しなくなる問題(*1)

Java 暗号化拡張機能である Java Cryptography Extension 1.2.1（以下、JCE 1.2.1）内の jar ファイルを署名する際に用いた証明書が 2005/07/28 に期限切れとなります。JCE 1.2.1 では、証明書の有効期限が切れた際のプログラムの動作を制限しており、結果として JCE 1.2.1 の特定のメソッドが正しく動作しなくなり、JCE を使用するアプリケーションが起動しないなどの問題が発生する可能性があります。

Java アプリケーションを開発していて、かつ、JCE を用いている場合は、ご利用になった JCE のバージョンをご確認ください。JCE 1.2.1 は、Java アプリケーション開発環境の J2SE 1.2.x もしくはJ2SE 1.3.x を用いて開発を行なっている場合に、拡張機能として組み込まれている可能性があります。

この問題は証明書の期限切れに起因する問題であり、脆弱性ではありませんが、周知を目的として、この問題を掲載しております。

*1 この案件は、JPCERT/CC が独自に収集した情報をもとにして調整を行なったものです。

BEAシステムズ

• BEA WebLogic Express 7.0
• BEA WebLogic Platform 7.0
• BEA WebLogic Server 7.0

IBM

• IBM JCE 1.2.1
• IBM JDK を同梱する製品
• IBM JRE を同梱する製品

アドビシステムズ

• Adobe ColdFusion mx 6.0
• Adobe ColdFusion mx 6.1
• Adobe ColdFusion mx 7
• Adobe JRun 3.1 および 4

インフォテリア

• ASTERIA R2 Flow Builder 全リビジョン
• ASTERIA R2 Server (Linux版を除く、全プラットフォーム)

コグノス

• Cognos Metrics Designer
• Cognos ReportNet

サン・マイクロシステムズ

• J2SE 1.2.x および 1.3.x
• JCE 1.2.1

シスコシステムズ

• Cisco WAN Manager (CWM) - 11.0.10
• Cisco WAN Manager (CWM) - 12.0.00
• CiscoWorks Host Solution Engine (HSE) - 1.7.3
• CiscoWorks Wireless LAN Solution Engine (CWWLSE) 1130 SOFTWARE - 2.7
• CiscoWorks Wireless LAN Solution Engine (CWWLSE) 1105 software - 2.7

シュナイダーエレクトリック株式会社 (旧社名株式会社エーピーシー・ジャパン)

• PowerChute (business) v6.1, v6.1.1, v6.1.2

マカフィー

• McAfee IntruShield v1.8, v1.9, v2.1

日本電気

• ESMPRO/UPSManager ver2.0
• PowerChute (business) v6.1.x

日立

• Cosminexus Server Web Edition
• Cosminexus Server Standard Edition
• Cosminexus Server Enterprise Edition
• Cosminexus Web Contents Generator 01-02
• HA8000シリーズ  (PowerChute Business Edition v6.1.2 修正パッチモジュール適用時)

富士通

• Interstage Application Server Enterprise Edition V4.0L10, V4.0L20 (Windows版)
• Interstage Application Server Enterprise Edition V5.0L10, V5.0L10A, V5.0L10B (Windows版)
• Interstage Application Server Standard Edition V4.0L10, V4.0L20 (Windows版)
• Interstage Application Server Standard Edition V5.0L10, V5.0L10A, V5.0L10B (Windows版)
• Interstage Application Server Standard Edition 4.0, 4.1 (Solaris,Linux版)
• Interstage Application Server Standard Edition 5.0, 5.0.1 (Solaris,Linux版)
• PowerChute (business) v6.1.2J
• PRIMERGY TX200 オールインワンタイプ
• PRIMERGY TX150 オールインワンタイプ

JCE 1.2.1 を利用した Java アプリケーションは、2005/07/28 06:43（JST）以降に起動しないなどの障害が発生する可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

BEAシステムズ

• BEA Security Advisory : BEA05-83.00
• BEA セキュリティアドバイザリ : BEA05-83.00

IBM

• IBM : PQ85933
• IBM セキュリティー情報 : Javaの「2005年7月28日問題」 - JCEの証明書の有効期限切れについて

アドビシステムズ

• アドビシステムズ サポート : JCE (Java Cryptography Extension) 1.2.1 について サーバ製品

インフォテリア

• インフォテリア株式会社 : ASTERIA R2をお使いのお客様へ ASTERIA緊急パッチ情報
• インフォテリア株式会社 : ASTERIAにおける起動時障害に関するパッチリリースについて

コグノス

• コグノス・グローバル・カスタマー・サービス : Java の 2005 年 7 月 28 日問題

サン・マイクロシステムズ

• Sun Alert Notification : 101796

シスコシステムズ

• Cisco Field Notice : Document ID: 65705

シュナイダーエレクトリック株式会社 (旧社名株式会社エーピーシー・ジャパン)

• APC Japan : PowerChute Business Edition v6.x.x 証明書の期限切れにおける修正対応

マカフィー

• マカフィー株式会社 : JCE 1.2.1の証明期限切れに伴うMcAfee製品の影響について

日本電気

• NEC製品セキュリティ情報 : NV05-024

日立

• Hitachi Software Vulnerability Information : HS05-015
• ソフトウェア製品セキュリティ情報 : HS05-015

富士通

• PRIMERGYに関する重要なお知らせ : PRIMERGY用 電源管理ソフトウェア PowerChute(R) Business Edition v6.1.2J をご使用のお客様へ重要なお知らせ
• 富士通 セキュリティ情報 : Interstage関連製品のSOAPにおける証明書期限切れによるSSL機能の障害

1. JVN : JVN#93926203
2. JPCERT REPORT : JPCERT-WR-2005-2701
3. IPA 緊急対策情報 : 20050708_jce

• [2007年04月01日]
    掲載
  [2007年06月08日]
    CVSSによる深刻度: N/A から[IPA値]に更新しました。