|
 |
IBM JCE 1.2.1 証明書有効期限切れに伴うTivoli製品への影響について (Tivoli-05-064) 作成日: 2005年11月25日
更新日: 2006年7月5日 | IBM JCE 1.2.1 証明書有効期限切れに伴うTivoli製品への影響についての2005年12月 1日現在の情報です。アップデートがありましたら随時更新します。 |
(2006/07/05 10:06) TPM/TIO V1.1.0, V2.1.0の影響を追加
IBM JCE 1.2.1 証明書有効期限切れに伴うTivoli製品への影響についての2006年 5月16日現在の情報です。
アップデートがありましたら随時更新します。
【Tivoli製品への影響と対応状況】
(1)証明書が2006年5月に期限切れになり、影響を受ける可能性のあるTivoli製品は以下の通りです。
※Tivoli Security製品についてはテクニカル・フラッシュ"Tivoli セキュリティー製品におけるIBM JCE証明書期限切れの問題と対応方法 (Tivoli-06-024)"ご覧下さい。
- IBM Tivoli Configuration Manager V4.2以降- IBM Tivoli Remote Control V3.8File Transfer と Chat機能をお使いのお客様は IBM JCE1.2.1 証明書有効期限切れ問題の影響を受ける可能性があります。当事象に関し、V3.8、3.8.1それぞれについて、APAR IY76324、IY84133が作成されています。これらは、それぞれ、3.8-RCL-0013(リリース済み)、3.8.1-RCL-0010(リリース済み<←2006/05/08 - 変更 >)にて修正されます。必要に応じ適用を検討してください。なお、IBM Tivoli Remote Control V3.8のFile Transfer と Chat以外の機能における影響は、現時点では報告されていません。 - IBM Tivoli Service Level Advisor V1.2.1- IBM Tivoli License Manager V1.1.1およびV2.1使用するWASのバージョンにより影響を受ける可能性があります。
・ ITLM 1.1.1 は WAS 4.0.4 をサポートしています。※ ITLM 1.1.1には WAS は バンドルされていません。
・ ITLM 2.1 は WAS 5.0.2.x および 5.1 をサポートしています。 ※ITLM 2.1には WAS 5.1 がバンドルされています。
上記WASはJCE 1.2.1 証明書有効期限切れ問題の影響が指摘されています。下記の文書を参照の上、WASに対する対応をご検討ください。
IBM JCE 1.2.1 証明書有効期限切れについて (WAS-05-06)
<<< 2006/05/13 - 変更 >>>
- IBM Monitoring for Transaction Performance(TMTP) V5.2およびV5.3<<< 2006/05/13 - 変更終了 >>>
<<< 2006/05/18 - 追加 >※ 5.2.0.0-TIV-WTP-IF0037のreadmeには下記の記載がありますが、「5.3」は誤りです。「5.2」と読み替えてください。
-----------------------------II. PREREQUISITES:
None.
This package can be installed on top of any level of 5.3 Management Agents. ----------------------------- <<< 2006/05/18 - 追加終了 >>><<< 2006/05/13 - 変更 >>>
- TSRM(Tivoli Storage Resource Manager) 1.3, TSANM(Tivoli Storage Area Network Manager) 1.3・ TRSM V1.3、TSANM V1.3については、下記のFlash(Alert)にjarファイルと置換手順が記載されています。 <<< 2006/05/13 - 変更終了 >>>
<<< 2006/07/05 - 追加 >>>
- IBM Tivoli Provisioning Manager(TPM) V1.1.0, V2.1.0 および IBM Tivoli Intelligent Orchestrator(TIO) V1.1.0, V2.1.0バンドルされているWAS 5.0による影響があります。(上記バージョンおよびFixPack、Interim Fixを適用したレベルすべて)
WAS 5.0はJCE1.2.1 証明書有効期限切れ問題の影響が指摘されています。下記の文書を参照の上、WASに対する対応をご検討ください。
IBM JCE 1.2.1 証明書有効期限切れについて (WAS-05-06)
※TPM、TIO V3.1はWAS 5.1.1.3を使用するため、JCE証明書期限切れの影響は特に指摘されていません。 <<< 2006/07/05 - 追加終了 >>> (2)以下の製品には影響はありません。(特にバージョンの記載がないものは、現在サポートされているすべてのバージョンを意味します。)
- IBM Tivoli Storage Network Manager
- IBM Tivoli StorageManager
- Tivoli AF/IRM
- Tivoli AF/OPERATOR
- Tivoli AF/Remote
- Tivoli Business System Manager for z/OS
- Tivoli Composite Application Manager for Response Time Tracking
- Tivoli Composite Application Manager for WebSphere
- Tivoli Data Warehouse
- Tivoli Decision Support for OS/390
- Tivoli Desktop for Windows
- Tivoli Distributed Monitoring V3.6.2 V3.7
- Tivoli Enterprise Console
- Tivoli Information Management for z/OS
- Tivoli Inventory (Tivoli Configuration Managerのサブコンポーネント) V4.0
- Tivoli Management Framework
※「Tivoli Monitoring for Transaction Performance」は影響があることが判明しました。<←2006/05/8,13 - 変更>
- Tivoli Monitoring for xxx製品 V5.x
- Tivoli Monitoring V5.x
- Tivoli Monitoring V6.1 の下記コンポーネント
・ Tivoli Enterprise Portal Server
・ Tivoli Enterprise Monitoring Server
・ Tivoli Monitoring OS Agent
・ Tivoli Monitoring DB Agent
・ Tivoli Monitoring Universal Agent
- Tivoli NetView
- Tivoli NetView Distribution Manager
- Tivoli NetView for TCPIP Performance
- Tivoli NetView for z/OS
- Tivoli NetView Performance Monitor
- Tivoli OMEGACENTER Gateway
- Tivoli OMEGAMON DE for NT, UNIX, OS/400
- Tivoli OMEGAMON DE for WAS MQI on Dist Systems
- Tivoli OMEGAMON DE for WebSphere Application Server on Distributed Systems
- Tivoli OMEGAMON DE for WebSphere MQ Integrator on Distributed Systems
- Tivoli OMEGAMON Management Server
- Tivoli OMEGAMON Monitoring Agent for MQ on MVS
- Tivoli OMEGAMON Monitoring Agent for MQSeries on MVS
- Tivoli OMEGAMON XE for CICS
- Tivoli OMEGAMON XE for DB2
- Tivoli OMEGAMON XE for IMS
- Tivoli OMEGAMON XE for Mainframe Network
- Tivoli OMEGAMON XE for OS/390
- Tivoli OMEGAMON XE for WebSphere InterChange Server
- Tivoli PathWAI Web Availability Monitor
- Tivoli Point of Sale Manager
- Tivoli SANergy
- Tivoli Software Distribution (Tivoli Configuration Managerのサブコンポーネント) V4.0/V4.1
- Tivoli System Automation for Linux/Multiplatforms
- Tivoli System Automation for OS/390
- Tivoli User Administration V3.8
- Tivoli Web Access for Information Management
- Tivoli Web Response Monitor
- Tivoli Web Segment Analyzer
- Tivoli Web Site Analyzer
- Tivoli Workload Schedular (ホスト/分散)
- TotalStorage Producrivity Center, Data
- TotalStorage Producrivity Center, Disk
- TotalStorage Producrivity Center, Fabric
- TotalStorage Producrivity Center, Replication
- WebSpere Studio Application Monitor
【IBM JCE1.2.1 証明書有効期限切れ問題の概要】
サン・マイクロシステムズ社の JCE(Java Cryptography Extension) 1.2.1 を利用したアプリリケーションは、JCE の証明書の期限切れのため、2005年7月28日6時43分(日本標準時)以降正常に動作しなくなる可能性があるとの情報がIPA(情報処理推進機構)より注意喚起されています。
サン・マイクロシステムズ社の JCE 1.2.1 は、パッケージの署名に使われている証明書の有効期限が 2005年7月28日6時43分(日本標準時) になっており、JCE 1.2.1では、有効期限が過ぎた証明書をもつプログラムの動作を制限しているため、証明書が有効期限切れになるとJCE の一部の機能が動作しなくなり、JCE を利用した製品の動作に不具合が起きる可能性があります。 この問題は、JCE 1.2.2 にバージョンアップすることで解決できます。
IBM では IBM製品に付属するJava実行環境にサン・マイクロシステムズ社の JCE 1.2.1 を組み込んでいないため、 2005年7月28日に問題が発生することはありませんが、IBMの実装であるIBMJCE 1.2.1 の特定のレベルでは証明書の有効期限が2006年5月19日6時59分(日本標準時) に設定されています。IBM JCEもサン・マイクロシステムズ社の JCE 1.2.1 と同様の仕様で有効期限が過ぎた証明書をもつプログラムの動作を制限しているため、この日以降問題が発生します。IBM JCEは 04/01/29 以降のビルドでJCE 1.2.2 仕様となり、これ以前のIBM JCEをご使用の場合は対応が必要になります。
※JCEとは、暗号化や電子署名の機能を提供するライブラリ・モジュールで、JDK 1.4以降ではJ2SEの標準パッケージに含まれますが、それ以前はオプション・ライブラリとして提供されていました。今回警告されたのは、オプションとして提供されていたJCE 1.2.1です。JDK 1.4以降に含まれるJCEは影響を受けません。
※参考URL: http://www.ipa.go.jp/security/vuln/20050708_jce.html
IBM JCEをバンドルする製品リストは膨大なため、実環境システムをサーチして確認していただくことが先決です。
IBMJCEのバンドルの有無とビルドについては、ibmjcefw.jarという名前のファイルを検索し、そのビルドDateが040129より古い場合は、証明書の有効期限チェックにより2006年5月に影響があります。下記にIBMJCEビルドレベルの確認方法を記載しておりますので、まずご確認ください。 |
JCEビルドレベルの確認方法
1. ibmjcefw.jarをサーチし、そのビルド日を確認します。
2. ご使用になられているJDK,JREのインストールディレクトリの下の
\jre\lib\ext(Windowsの場合)
/jre/lib/ext(UNIXの場合)
にあるibjcefw.jarファイルからMANIFEST.MFファイルを以下のように抽出します。
jar -xvf ibmjcefw.jar META-INF
実行すると以下のメッセージが表示されます。
META-INF/MANIFEST.MF が抽出されました。
META-INF/IBMFW.SF が抽出されました。
META-INF/IBMFW.DSA が抽出されました。
3. ここで作成されるMETA-INFディレクトリの下のMANIFEST.MFファイルをエディターで開きます。
4. 以下のような内容がファイルに入っています。(先頭部分を抜粋)
Manifest-Version: 1.0
Name: javax/crypto/spec/ javax/crypto/interfaces/ javax/crypto/
IBM-Reusable-JVM-Compatible: True
Created-By: 1.2.2 (IBM Corporation)
Implementation-Vendor: IBM Corporation
Implementation-Version: 1.00, Build_011214
Implementation-Title: IBM Java(tm) Cryptography Extension Package
Implementation-Version: 1.00, Build_011214 という行のBuildの次に続くのがビルド日になります。
この日付が040219よりも古い場合には対策が必要になります。
上記の例では011214となっており対策が必要です。
この情報に関しては現在も調査中であり、新たな情報がわかり次第改めて報告いたします。
今後の情報にご注意ください。
以上.
文書情報
有効期限: 2008年11月25日
発表日: 2005/11/25
資料番号: Tivoli-05-064
本コーナーは、お客様の問題解決のためのヒントとしてご利用ください。 本コーナーの記載内容は、お客様固有の問題に対し、適切であるかどうか、また、正確であるかどうかは十分検証されていません。 結果について、いかなる保証も責任も負いかねますので、あらかじめご了承ください。 |
|
|
