【活用ガイド】

[English]

JVNDB-2005-000776

Java Cryptography Extension 1.2.1(JCE 1.2.1)の証明書の期限切れで 2005/07/28 以降ソフトウエアが正常に動作しなくなる問題(*1)

概要

Java 暗号化拡張機能である Java Cryptography Extension 1.2.1(以下、JCE 1.2.1)内の jar ファイルを署名する際に用いた証明書が 2005/07/28 に期限切れとなります。JCE 1.2.1 では、証明書の有効期限が切れた際のプログラムの動作を制限しており、結果として JCE 1.2.1 の特定のメソッドが正しく動作しなくなり、JCE を使用するアプリケーションが起動しないなどの問題が発生する可能性があります。

Java アプリケーションを開発していて、かつ、JCE を用いている場合は、ご利用になった JCE のバージョンをご確認ください。JCE 1.2.1 は、Java アプリケーション開発環境の J2SE 1.2.x もしくはJ2SE 1.3.x を用いて開発を行なっている場合に、拡張機能として組み込まれている可能性があります。

この問題は証明書の期限切れに起因する問題であり、脆弱性ではありませんが、周知を目的として、この問題を掲載しております。

*1 この案件は、JPCERT/CC が独自に収集した情報をもとにして調整を行なったものです。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 2.6 (注意) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 高
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 部分的
影響を受けるシステム


BEAシステムズ
  • BEA WebLogic Express 7.0
  • BEA WebLogic Platform 7.0
  • BEA WebLogic Server 7.0
IBM
  • IBM JCE 1.2.1
  • IBM JDK を同梱する製品
  • IBM JRE を同梱する製品
アドビシステムズ
  • Adobe ColdFusion mx 6.0
  • Adobe ColdFusion mx 6.1
  • Adobe ColdFusion mx 7
  • Adobe JRun 3.1 および 4
インフォテリア
  • ASTERIA R2 Flow Builder 全リビジョン
  • ASTERIA R2 Server (Linux版を除く、全プラットフォーム)
コグノス
  • Cognos Metrics Designer
  • Cognos ReportNet
サン・マイクロシステムズ
  • J2SE 1.2.x および 1.3.x
  • JCE 1.2.1
シスコシステムズ
  • Cisco WAN Manager (CWM) - 11.0.10
  • Cisco WAN Manager (CWM) - 12.0.00
  • CiscoWorks Host Solution Engine (HSE) - 1.7.3
  • CiscoWorks Wireless LAN Solution Engine (CWWLSE) 1130 SOFTWARE - 2.7
  • CiscoWorks Wireless LAN Solution Engine (CWWLSE) 1105 software - 2.7
シュナイダーエレクトリック株式会社 (旧社名株式会社エーピーシー・ジャパン)
  • PowerChute (business) v6.1, v6.1.1, v6.1.2
マカフィー
  • McAfee IntruShield v1.8, v1.9, v2.1
日本電気
  • ESMPRO/UPSManager ver2.0
  • PowerChute (business) v6.1.x
日立
  • Cosminexus Server Web Edition
  • Cosminexus Server Standard Edition
  • Cosminexus Server Enterprise Edition
  • Cosminexus Web Contents Generator 01-02
  • HA8000シリーズ  (PowerChute Business Edition v6.1.2 修正パッチモジュール適用時)
富士通
  • Interstage Application Server Enterprise Edition V4.0L10, V4.0L20 (Windows版)
  • Interstage Application Server Enterprise Edition V5.0L10, V5.0L10A, V5.0L10B (Windows版)
  • Interstage Application Server Standard Edition V4.0L10, V4.0L20 (Windows版)
  • Interstage Application Server Standard Edition V5.0L10, V5.0L10A, V5.0L10B (Windows版)
  • Interstage Application Server Standard Edition 4.0, 4.1 (Solaris,Linux版)
  • Interstage Application Server Standard Edition 5.0, 5.0.1 (Solaris,Linux版)
  • PowerChute (business) v6.1.2J
  • PRIMERGY TX200 オールインワンタイプ
  • PRIMERGY TX150 オールインワンタイプ

想定される影響

JCE 1.2.1 を利用した Java アプリケーションは、2005/07/28 06:43(JST)以降に起動しないなどの障害が発生する可能性があります。
対策

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

BEAシステムズ IBM アドビシステムズ インフォテリア コグノス サン・マイクロシステムズ
  • Sun Alert Notification : 101796
シスコシステムズ シュナイダーエレクトリック株式会社 (旧社名株式会社エーピーシー・ジャパン) マカフィー 日本電気
  • NEC製品セキュリティ情報 : NV05-024
日立
  • Hitachi Software Vulnerability Information : HS05-015
  • ソフトウェア製品セキュリティ情報 : HS05-015
富士通
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVN#93926203
  2. JPCERT REPORT : JPCERT-WR-2005-2701
  3. IPA 緊急対策情報 : 20050708_jce
更新履歴

  • [2007年04月01日]
      掲載
    [2007年06月08日]
      CVSSによる深刻度: N/A から[IPA値]に更新しました。