情報処理推進機構(IPA)などは7月8日,米Sun Microsystemsの提供するJavaのライブラリ「JCE(Java Cryptography Extension)1.2.1」の一部機能が7月28日以降,正常に動作しなくなることを警告した。これが原因で,JCE 1.2.1を使っているソフトウエア製品が正常に動作しなくなる可能性がある。

 IPAなどの情報には,具体的な製品名は挙げられていないが(7月8日20時現在),編集部の調べでは,米APCのUPS(無停電電源装置)用制御ソフト「PowerChute Business Edition v6.x.x」やインフォテリアの「ASTERIA R2」などが影響を受ける模様。ベンダーの情報やIPAなどの更新情報をチェックして,必要に応じてパッチ適用などの対策を施す必要がある。

 今回の警告情報は,IPAおよびJPCERTコーディネーションセンター(JPCERT/CC),日本ネットワークセキュリティ協会(JNSA)の連名で公開された。

 JCEとは,暗号化や電子署名の機能を提供するライブラリ・モジュール(パッケージ)のこと。JDK 1.4以降ではJ2SEの標準パッケージに含まれるが,それ以前はオプション・ライブラリとして提供されていた。

 今回警告されたのは,オプションとして提供されていたJCE 1.2.1。JDK 1.4以降に含まれるJCEは影響を受けない。JCE 1.2.1には,その正当性(完全性)を検証できるようにデジタル署名が施されている。その署名に使われているデジタル証明書の有効期限が,2005年7月28日の6時43分に切れてしまう。これにより,JCEの一部の機能が動作しなくなるという。その結果,JCEを利用しているソフトウエア製品が正常に動作しなくなる可能性がある。

 しかしながら,IPAなどの情報には,具体的にどの製品が影響を受けるのかは明らかにされていない(7月8日20時現在)。同情報のページには,「製品開発者は,JCE の問題の影響の有無を調査し,その結果及び影響がある場合の対策を公表すると共に,IPA,JPCERT/CCへ連絡いただきますようお願いいたします」「このページは随時更新する予定です」と記載されているので,情報が集まり次第,同ページが更新されることが期待される。ユーザーや管理者は,同ページを定期的にチェックするとともに,利用しているソフトウエア製品のベンダーのサイトなども確認したい。

【7月19日追記】情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営しているポータルサイト「JP Vendor Status Notes(JVN)」では7月13日以降,今回の問題に関する各ベンダーの情報をとりまとめて公表している関連記事)。【以上,7月19日追記】

 例えば,APCの「PowerChute Business Edition v6.x.x」およびインフォテリアの「ASTERIA R2」の一部バージョンが影響を受けることがそれぞれのベンダーから明らかにされている。パッチなどが公開されているので,これらを使用している場合には早急に対策を施したい。特に前者については,UPSが正常に動作しなくなる恐れがあるので,同製品のユーザーは確認しておきたい。

 なお,今回のセキュリティ・ホールはJCE 1.2.2には存在しない。このため,JCEをバージョンアップできる環境では,JCE 1.2.2にすれば影響を回避できる。しかしながら,JCE1.2.2は2006年4月にSun MicrosystemsのEOL(End Of Life)プロセスに入りサポート対象外となる。このためIPAなどでは,今回を機に,セキュリティ・ホールが存在しないJCEを標準パッケージとして含んでいるJ2SE1.4.2 あるいは J2SE 5.0へ移行することを勧めている。

◎参考資料
JCE 1.2.1 の証明書期限切れに関する注意喚起
重要: PowerChute Business Edition v6.x.x 修正対応のご案内(APCジャパン)
ASTERIA緊急パッチ情報のお知らせ(インフォテリア)

(勝村 幸博=IT Pro)