「JP Vendor Status Notes(JVN)」は7月13日以降,Java Cryptography Extension 1.2.1(JCE 1.2.1)の証明書期限切れの影響について各ベンダーが公表している情報を取りまとめて,随時更新している(関連記事)。影響を受けるとされている製品は,7月28日以降,起動しないなどの障害が発生する可能性がある。情報は随時更新されているので,最新の情報を参照するようにしたい。
JVNとは,情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営しているポータルサイト。JVNでは,JPCERT/CCや米US-CERT,英NISCCなどが取り扱ったセキュリティ・ホール(脆弱性)などに関する情報を公表している。
IPAでは7月8日付けで,「JCE 1.2.1 の証明書期限切れに関する注意喚起」を公表し,JCE 1.2.1を利用しているアプリケーションは,7月28日以降,正常に動作しなくなる可能性があることを呼びかけた。しかしながら,公表当初は,具体的にどの製品が影響を受けるのか明らかにはしていなかった。その後JVNでは,「JPCERT/CC 開発者ベンダ登録リスト」に登録しているベンダーからの情報などを基に,影響を受ける製品のリストアップを開始した。
7月19日時点では,関連記事で言及した米APCのUPS(無停電電源装置)用制御ソフト「PowerChute Business Edition v6.x.x」やインフォテリアの「ASTERIA R2」の以外にも,例えば,富士通の「INTERSTAGE Application Server」や日立の「Cosminexus Web Contents Generator」,IBMの「WebSphere Application Server」などが影響を受ける可能性がある製品として記載されている。
これら以外にも,影響を受ける製品がいくつか記載されている。影響を受ける製品名やバージョン,対処方法(パッチの入手/適用方法)などについては,JVNの該当ページ(および同ページからリンクが張られているベンダーのページ)を参照のこと。該当ページは随時更新されているので,最新の情報を入手するようにしていただきたい。
◎参考資料
◆JVN#93926203 Java Cryptography Extension 1.2.1(JCE 1.2.1)の証明書の期限切れで 2005/07/28 以降ソフトウエアが正常に動作しなくなる問題
◆JCE 1.2.1 の証明書期限切れに関する注意喚起
(勝村 幸博=IT Pro)
