Java暗号処理モジュールの「7月28日問題」に警告

7月28日6時43分以降、JCE (Java Cryptography Extension) 1.2.1を使用しているアプリケーションで動作に不具合が生じる恐れがある。

» 2005年07月09日 02時30分 公開
[高橋睦美,ITmedia]

 情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター(JPCERT/CC)、日本ネットワークセキュリティ協会(JNSA)の3団体は7月8日、JCE (Java Cryptography Extension) 1.2.1を使用しているアプリケーションで、7月28日6時43分以降に不具合が生じる恐れがあるとして注意を呼びかけた。

 JCEは、暗号化や電子署名といった機能を実装するための、Java向けの暗号拡張機能パッケージだ。パッケージには電子署名が施されているが、バージョン1.2.1の書名に用いられている電子証明書の有効期限が7月28日6時43分に切れる。

 この結果、JCE 1.2.1の特定のメソッドが正常に動作しなくなり、ひいてはJCE 1.2.1を採用しているアプリケーションやJavaシステムが正常に動作しなくなる恐れがある。これが「7月28日問題」だ。

 自社で開発したシステムでJCEを採用している場合は、バージョンを確かめた上で、JCE 1.2.2にバージョンアップすれば問題を解決できる。ただ、モジュール自体は2006年4月にサポート外となる。より根本的な解決策として、標準パッケージとしてJCEを取り込んでいるJ2SE1.4.2/J2SE 5.0への移行が望ましい。

 ベンダーが提供するパッケージソフトにもJCE 1.2.1が含まれている可能性がある。IPAら3団体が公表した情報にはJCE 1.2.1を含む製品の具体名は示されていないが、インフォテリアは6月22日付で、「ASTERIA R2」向けのパッチを提供。また米APCは、UPS(無停電電源装置)の制御ソフト「PowerChute Business Edition v6.x.x」向けに修正ソフトを公開している。

 他にもJCE 1.2.1を含んだ製品が存在する可能性は否定できない。当面、ベンダーやセキュリティ団体が公開する情報に注意が必要だ。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ