Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

「7月28日問題」Webサービスの異常動作に注意!


「7月28日問題」サーバー利用者に影響が出る可能性も

 現在、「7月28日問題」がサーバー管理者などの間で話題になっている。「7月28日問題」とは、2005年7月28日6時43分(日本標準時)以降、一部のJavaアプリケーションが正常に動作しなくなる、という問題だ。

 現在、IPA/ISEC(情報処理推進機構 セキュリティセンター)、JPCERT/CC(JPCERT コーディネーションセンター)、JNSA(日本ネットワ−クセキュリティ協会)からも連名で注意喚起が行なわれている。

 この問題は、JCE(Java Cryptography Extension)と呼ばれる、データの暗号化・復号化を行なう拡張の古いバージョンに不具合があり、2005年7月28日6時43分(日本標準時)以降、正常に動作しなくなるというものだ。これにより、一部のJavaを利用したアプリケーションや、アプリケーションサーバーなどが正常動作しなくなる可能性がある。

 問題を起こすバージョン1.2.1以前のJCEは、オプショナルとして提供されていたため、一般的にはそれほど多く使われてはいないのだが、アプリケーションサーバーでの認証や暗号化通信用などに使われているケースがあり、SEやサーバー管理者が警戒しているのだ。

 原因となる拡張が比較的古いものなので、それほど多くのサーバーで起こるわけではなく、また、あまりユーザーが使うクライアントPCで利用されるものではないので、直接ユーザーが被害を受ける可能性は小さいかもしれない。

 しかし、実際に問題が発生した場合、Web上の特定サービスにアクセスすることができないなどの問題が7月28日に起こる可能性がある。また、メーカーから公表されている情報によると、無停電電源を監視するソフトウェアが起動しない、あるいはソフトウェアがインストールできなくなる、という可能性もあるようだ。

 一般の利用者に影響が出る可能性も考えて、いちおう心に留めておくべき問題だろう。


対象となるモジュールはJavaのJCE

 今回の問題の原因となっているJCEのバージョンは、1.2.1という2000年にリリースされたものだ。

 JCEはJavaの暗号化を扱う拡張なので、これには電子証明書が添付されている。しかし、JCE バージョン1.2.1に添付された電子証明書は、2005年7月28日に期限切れを迎えるため、これ以降、このクラス内の特定のメソッドが正常に作動しなくなるという現象が発生することが、Sun MicrosystemsやIPAから発表されている。

 このJCEは、Java2 SE 1.3.xにおいてオプションとして別途提供されていたものだ。つまり、Java2 SE 1.3.xを要求し、認証などのセキュリティ関連の機能を持つソフトウェアに関して注意が必要だ、ということだ。

 なお、同じJCEが後のバージョンではJava2 SEに標準で添付されるようになったが、この後のバージョンにあたる1.4.xや5.0に含まれるJCEでは問題は修正されており、この問題が起きることはない。

 現在のところ、以下の各団体・各社からJCE使用ソフトウエアに関する情報提供や、修正パッチのリリースが行なわれている。該当製品を利用している場合は注意をしておいたほうがいいだろう。

 また、ここには掲載されていないメーカーのソフトウェアがJCE 1.2.1を搭載している場合もある。これからWebに掲載されることもあるかもしれない。また、NECのように「発売製品には含まれない」と告知しているメーカーもある。心配な場合には、7月28日問題が発生する可能性があるのかどうか、メーカーに問い合わせてみるといいだろう。


●IPA/ISEC「JCE 1.2.1 の証明書期限切れに関する注意喚起」
 http://www.ipa.go.jp/security/vuln/20050708_jce.html

 特に個別の製品などに関しては言及していないが、この問題が起こる原因などが詳しく書かれている。一度目を通しておくといいだろう。
 IPA/ISECでは、JCE 1.2.2自体が、2006年4月にサン・マイクロシステムズ社のEOL(End Of Life)プロセスに入り、サポート対象外となる製品であることから、これを機に、対応済みのJCEが標準パッケージとして含まれているJ2SE1.4.2、またはJ2SE 5.0への移行を検討することを推奨している。

●APC「PowerChute Business Edition v6.x.x 修正対応のご案内」
 http://www.apcc.com/solutions/display.cfm?id=...

 対象製品は「PowerChute Business Edition v6.x.x」。APCのPowerChuteの旧版では、2005年7月28日6時43分以降、サーバーおよびエージェントサービスが再起動された場合、サービスが開始しない、または新規インストールをしても正常動作しないなどの現象が起こるとされている。現行製品であるPowerChute Business Edition v7.0(2004年3月発売開始)ではこの現象は起きない。

●Infoteria「ASTERIAにおける起動時障害に関するパッチリリースについて」
 http://www.infoteriacom.com/iwebsite/htdocs/work/AS-05052.html

 ASTERIA R2 全リビジョン(Linux除く)で、一部のバージョンが起動できなくなる可能性があることを公表。Webサイトで当該製品向けのパッチをダウンロード提供している。対処方法に関する質問や要望は、営業担当者のほか、メールやフリーダイヤルでも受け付けている。

●富士通「Interstage関連製品のSOAPにおける証明書期限切れによるSSL機能の障害」
 http://software.fujitsu.com/jp/security/fjpatch/info/interstage_as_200504.html

 富士通製のアプリケーションサーバーであるInterstageでは、7月28日以降、SSLを利用したSOAP通信を行なう業務ができなくなる。このため、個人情報をやりとりするようなWebサービスや、認証を行なっているような場合にサービスが正常に動かなくなる現象の発生を警戒する必要があるだろう。

●日立「JCE(Java Cryptography Extension)1.2.1証明書の失効問題」
 http://www.hitachi-support.com/security/vuls/HS05-015/

 対象製品は「Cosminexus Web Contents Generator」。基本的には、JCEの中でも問題の起きないJCE1.2.2ライブラリをサン・マイクロシステムズ社のサイトからダウンロードし、適用することで対処可能のようだ。JCE 1.2.2ライブラリの導入方法をサイト上で詳細に説明している。



( 大和 哲 )
2005/07/13 13:16

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.