AIXにおけるJCE 1.2.1の証明書の期限切れ問題について (pSeries-05-006) 作成日: 2005年7月28日 更新日: 2006年5月16日

2006年5月8日更新しました。
updateがありましたら随時更新致します。

概要：　
7月8日、JPCERTにJCE 1.2.1 の証明書期限切れに関する注意喚起が掲載されました。
http://www.ipa.go.jp/security/vuln/20050708_jce.html

サン・マイクロシステムズ社の提供しているJCE 1.2.1についてJarファイルの署名に使われる証明書が2005年7月28日に有効期限切れになります。
IBMでは、IBM製品に付属するJava実行環境にサン・マイクロシステムズ社のJCE 1.2.1 を組み込んでいないため、2005年7月28日に問題が発生することはありません。
しかし、IBMの実装であるIBMJCE 1.2.1 では証明書の有効期限が2006年5月19日6時59分 (日本標準時) に設定されているため有効期限切れの問題が発生します。

JCE1.2.1はJDK1.3以前のオプションパッケージ（Java security tools）の一部で、下記ファイルセットが該当します。

【JDK1.3.0の場合】
Java130.jce-us

【JDK1.3.1の場合】
Java131.ext.security.jce-us（32bit版）
Java13_64.ext.security.jce-us（64bit版）

ただし、IBM JCEで今回の問題が発生するのはBuildDateが040219より古いJCEです。
以下の方法で確認してください。

IBM JCEのビルドレベルの確認方法


ご使用になっているJDK,JREのインストールディレクトリの下の
/jre/lib/ext/ibmjcefw.jar
からMANIFEST.MFファイルを以下のように抽出します。

jar -xvf ibmjcefw.jar META-INF

実行すると以下のメッセージが表示されます。

META-INF/MANIFEST.MF が抽出されました。
META-INF/IBMPROVI.SF が抽出されました。
META-INF/IBMPROVI.DSA が抽出されました。

ここで作成されるMETA-INFディレクトリの下のMANIFEST.MFファイルにBuild情報があります。


対応方法

JCEのBuildを040219以降にしてください。

以下URLからJava security toolsの最新のファイルセットをダウンロードすることができます。
Java security toolsファイルセットを更新することによってJCEのBuildを040219以降にすることができます。

http://www-128.ibm.com/developerworks/java/jdk/aix/service.html


FAQ

-更新方法は？
installpコマンドもしくはsmitから該当ファイルセットを更新してください。

-JDK1.2では問題ないのか？
IBM JDK1.2にはJava security toolsというオプションのファイルセットが存在しないので、AIXからファイルセットとして導入された
JDK1.2に関してはこの問題には当てはまりません。
ただし、ミドルウェアに同梱され導入されたJDK1.2に関してはこの限りではありませんので、ミドルウェアでの対応を実施してください。

-いくつかのJDKがOS内に存在するようだが、すべてのJDKに対して対策が必要か？
必要です。
JDKはミドルウェアに同梱されているもがありますし、いくつかのバージョンのJDKを導入して共存して使用することも可能ですので、
OS内に複数のJDKが存在している可能性はあります。
導入されているJDKすべてに対して該当するかどうかを確認し、ミドルウェアに同梱されているのもはミドルウェアでの対応を、
AIX上で導入したJDKであればファイルセットの更新による対応を実施してください。

-Current versionのJCE1.2.1の証明書が切れることによる問題の再発はないのか？
Build Dateが04219以降のJCE1.2.1では証明書の期限を無視するように修正されました。
従って、証明書の有効期限切れによる問題は生じません。