HostIntegration関連製品のJCE 1.2.1証明書期限切れの影響について (HostInteg-05-003) 作成日: 2005年7月26日 更新日: 2006年5月8日

2006年5月8日現在の情報です。
Updateがありましたら随時更新します。

【概要】　
7月8日、JPCERTにJCE 1.2.1 の証明書期限切れに関する注意喚起が掲載されました。
http://www.ipa.go.jp/security/vuln/20050708_jce.html

サン・マイクロシステムズ社の提供しているJCE 1.2.1についてJarファイルの署名に使われる証明書が2005年7月28日に有効期限切れになります。
IBMでは、IBM製品に付属するJava実行環境にサン・マイクロシステムズ社のJCE 1.2.1 を組み込んでいないため、2005年7月28日に問題が発生することはありません。
IBMの実装であるIBMJCE 1.2.1 では証明書の有効期限が2006年5月19日6時59分 (日本標準時) に設定されています。
なお、JCEとは，暗号化や電子署名の機能を提供するライブラリ・モジュールで、JDK 1.4以降ではJ2SEの標準パッケージに含まれますが、それ以前はオプション・ライブラリとして提供されていました。今回警告されたのは、オプションとして提供されていたJCE 1.2.1です。JDK 1.4以降に含まれるJCEは影響を受けません。

【内容】
現在、HostIntegration製品について、下記のことが分かっています。

PCOMM
・V5.7、5.8はJRE 1.4.1を使用していますので影響はありません。
・IBMの開発部門のテストでは、PCOMM V5.6においても問題は発生しないことが分かっていますが、2005/09/30にプログラムサービスが終了するため、2006/05/19を待たずに新しいリリースに移行されることをお勧めします。

HOD
(サーバー) HODサーバーでは、Windows/AIX/Linux上で稼動させて、リダイレクターでSSLを構成した場合に、GSKit経由でJCEを呼び出しています。
・V8/V9はIBM JRE 1.4.xを使用していますので影響はありません。(OS/400上のHODサーバーは、V8/V9でもJDK 1.3で稼動するケースがありますが、リダイレクターでSSLを構成することができないため問題は発生しません。)
・IBMの開発部門のテストでは、HOD V7においても問題は発生しないことが分かっていますが、2005/09/30にプログラムサービスが終了するため、2006/05/19を待たずにV8またはV9に移行されることをお勧めします。

(クライアント)
・以下の例外を除き、HODクライアントではJCEを利用していませんので、クライアント側でHODに関して対応は不要です。

※この説明は、HODクライアントにJRE 1.3を導入しており、なおかつ「VT ディスプレイ」や「ファイル転送」セッションにてSSHを使用していて、お客様自身でJCEを追加でインストールしている場合にのみ該当します。

HOD クライアントでは「VT ディスプレイ」セッションおよび「ファイル転送 (sftp)」セッション用の SSH をサポートしています。SSHを使用している場合、HODクライアントは、クライアント上に導入されているJava プラグインのJCEを使用します。
なお、JCEはJRE 1.3では標準で提供されていませんので、JRE 1.3をインストールしたあと、JCEをインストールしておく必要があります。
HODクライアントにJRE 1.3を導入しており、なおかつ「VT ディスプレイ」や「ファイル転送」セッションにてSSHを使用していて、お客様自身でJCEを追加でインストールしている場合にのみ、JCE証明書期限切れの問題が発生する可能性があります。JRE 1.3にIBM JCE1.2.1を導入している場合には、2006年5月19日6時59分 (日本標準時) に証明書の有効期限が切れ、問題が発生する可能性があります。JRE 1.3にSUN JCE1.2.1を導入している場合には、2005年7月28日6時43分(日本標準時)以降正常に動作されていない可能性があります。
対策
−JREを1.4以降にする(推奨)
−JREを1.3のまま使用する場合、SUNのJCE 1.2.2以降を導入する。（JRE 1.3に対してIBM JCEをこの目的で使わないでください。IBM JCEは単独で配布されていません。また、特定製品に含まれるIBM JCEを抜き出して利用することは、サポートされていません。）