本文へジャンプ

ソフトウェア > ソフトウェア技術情報 > 

2006年5月19日以降 IBM JCE 1.2.1が正常に動作しなくなる問題について
資料作成日 2005年12月6日
資料更新日 2006年7月6日



内容/目次
1. 問題の概要
2. IBM JCEバンドルの有無とビルドレベル確認方法
3. IBMソフトウェア製品への影響と対応状況
4. お問い合わせ先
文書情報


内容/目次

昨年、サン・マイクロシステムズ社の JCE(Java Cryptography Extension) 1.2.1 を利用したアプリケーションは、JCE の証明書の期限切れのため、2005年7月28日6時43分(日本標準時)以降正常に動作しなくなる可能性があるとの情報がIPA(情報処理推進機構)より注意喚起されていました。 IBM製品に付属するJava実行環境に使用されているIBMJCE 1.2.1 では証明書の有効期限が2006年5月19日6時59分(日本標準時) に設定されておりこの日以降に同様の問題が発生する可能性があります。 下記に問題の概要とIBMソフトウェア製品への影響と対応方法をまとめておりますのでご確認ください。

最終更新日:2006年7月6日

[更新履歴]
2006年7月6日
 Tivoliセキュリティー関連製品情報が更新されました。
2006年5月30日
 LMS Offline Learning Clientについて情報を追加しました。
2006年5月29日
 Instant Messaging and Web Conferencing (Sametime) 6.5.1 FP1情報を追加しました。
2006年5月18日
 WebSphere QualityStage, WebSphere DataStage, Informix関連製品, Cloudscape 10.0/10.1情報を追加しました。
2006年5月18日 Tivoli情報を更新しました。
2006年5月12日 FormWave for WebSphere情報を追加しました。
2006年5月8日 TXSeries,CICS Transaction Gateway,WebSphere InterChange Server V4.2.2,WebSphere Business Integration Server Express V4.3,WebSphere Business Integration Adapter V2.4-V2.5,WebSphere Commerce情報を追加しました。
2006年4月27日 WebSphere Application Serverについてよくある質問をFAQとしてまとめました。詳細はこちらをご覧ください。
2006/05/02 WebSphere Every Access関連製品の情報を追加しました。
2006年4月27日 「JCEビルドレベルの確認方法」の文中において下線部を追記しました。「ビルドDateが040219より古い場合は(040219は問題ありません)・・・・」
2006年4月19日 Tivoli情報を更新しました。
2006年4月17日 iSeries情報を追加しました。
2006年4月7日 IM情報を更新しました。
2006年4月6日 ibmjcefw.jarという名前のファイルを検索し、そのビルドDateが040129より古い場合は・・」の記述においてDateを040219に修正いたしました。
2006年4月6日 「JCEビルドレベルの確認方法」の文中におけるファイル名に記述ミスがありました。 ibjcefw.jar→ibmjcefw.jarを修正いたしました。

上に戻る


1. 問題の概要

サン・マイクロシステムズ社の JCE(Java Cryptography Extension) 1.2.1 を利用したアプリケーションは、JCE の証明書の期限切れのため、2005年7月28日6時43分(日本標準時)以降正常に動作しなくなる可能性があるとの情報がIPA(情報処理推進機構)より注意喚起されていました。

サン・マイクロシステムズ社の JCE 1.2.1 は、パッケージの署名に使われている証明書の有効期限が 2005年7月28日6時43分(日本標準時) になっており、JCE 1.2.1では、有効期限が過ぎた証明書をもつプログラムの動作を制限しているため、証明書が有効期限切れになるとJCE の一部の機能が動作しなくなり、JCE を利用した製品の動作に不具合が起きる可能性があります。 この問題は、JCE 1.2.2 にバージョンアップすることで解決できます。

IBM では IBM製品に付属するJava実行環境にサン・マイクロシステムズ社の JCE 1.2.1 を組み込んでいないため、 2005年7月28日に問題が発生することはありませんが、IBMの実装であるのIBMJCE 1.2.1 では証明書の有効期限が2006年5月19日6時59分(日本標準時) に設定されています。IBM JCEもサン・マイクロシステムズ社の JCE 1.2.1 と同様の仕様で有効期限が過ぎた証明書をもつプログラムの動作を制限しているため、この日以降問題が発生します。
IBM JCE 1.2.1 をご使用の場合は対応が必要になりますのでご注意ください。

※JCEとは,暗号化や電子署名の機能を提供するライブラリ・モジュールで、JDK 1.4以降ではJ2SEの標準パッケージに含まれますが、それ以前はオプション・ライブラリとして提供されていました。今回警告されたのは,オプションとして提供されていたJCE 1.2.1です。JDK 1.4以降に含まれるJCEは影響を受けません。

※参考URL:
http://www.ipa.go.jp/security/vuln/20050708_jce.html

上に戻る


2. IBM JCEバンドルの有無とビルドレベル確認方法

IBM JCEをバンドルする製品リストは膨大なため、実環境システムをサーチして確認することが先決です。
IBM JCEのバンドルの有無とビルドについては、ibmjcefw.jarという名前のファイルを検索し、そのビルドDateが040219より古い場合は、証明書の有効期限チェックにより2006年5月に影響があります。下記にIBMJCEビルドレベルの確認方法を記載しておりますので、まずご確認ください。

JCEビルドレベルの確認方法
  1. ibmjcefw.jarをサーチし、そのビルド日を確認します。
  2. ご使用になられているJDK,JREのインストールディレクトリの下の
    \jre\lib\ext(Windowsの場合)
    /jre/lib/ext(UNIXの場合)
    にあるibmjcefw.jarファイルからMANIFEST.MFファイルを以下のように抽出します。
    jar -xvf ibmjcefw.jar META-INF
    実行すると以下のメッセージが表示されます。
    META-INF/MANIFEST.MF が抽出されました。
    META-INF/IBMFW.SF が抽出されました。
    META-INF/IBMFW.DSA が抽出されました。
  3. ここで作成されるMETA-INFディレクトリの下のMANIFEST.MFファイルをエディターで開きます。
  4. 以下のような内容がファイルに入っています。(先頭部分を抜粋)
    Manifest-Version: 1.0
    Name: javax/crypto/spec/ javax/crypto/interfaces/ javax/crypto/
    IBM-Reusable-JVM-Compatible: True
    Created-By: 1.2.2 (IBM Corporation)
    Implementation-Vendor: IBM Corporation
    Implementation-Version: 1.00, Build_011214
    Implementation-Title: IBM Java(tm) Cryptography Extension Package

    Implementation-Version: 1.00, Build_011214 という行のBuildの次に続くのがビルド日になります。
    この日付が040219よりも古い場合には対策が必要になります。
    上記の例では011214となっており対策が必要です。

上に戻る


3. IBMソフトウェア製品への影響と対応状況

WebSphere
Information Management
Lotus
Tivoli
Rational
zSeries Software
iSeries

WebSphere
対象製品、対応方法についてはこちらをご参照ください。
なお、よくある質問をFAQにまとめましたのであわせてこちらもご覧ください。

【対象製品リスト】
  • WebSphere Application Server
  • WebSphere Studio Application (Site) Developer V5.0/V5.1.x
  • WebSphere MQ 
  • Communication Server
  • WebSphere Host Integration
  • WebSphere Everyplace Access 4.3
  • WebSphere Everyplace Access for Lotus Domino 4.3
  • WebSphere Everyplace Access 5.0
  • TXSeries
  • CICS Transaction Gateway
  • WebSphere InterChange Server V4.2.2
  • WebSphere Business Integration Server Express V4.3
  • WebSphere Business Integration Adapter V2.4-V2.5
  • WebSphere Commerce
  • Formwave for WebSphere
上に戻る

Information Management
対象製品、対応方法についてこちらをご覧ください。

【対象製品リスト】
  • DB2
  • ContentManager
  • WebSphere Information Integrator
  • WebSphere QualityStage, WebSphere DataStage
  • Informix関連製品
  • Cloudscape 10.0/10.1
上に戻る

Lotus
LMS追加情報:IBM JCE 証明書有効期限切れに関連するオフラインクライアントの Fix についてはこちらをご覧ください。

Instant Messaging and Web Conferencing (Sametime) 6.5.1 FP1 で SSL を有効にしていると、サーバー再起動時に Meeting services が動作しない問題があります。詳細はこちらをご覧ください。

WebSphere Portalにて、WASセキュリティ構成※を行っているシステムではポータルへのログインができなくなる事象が確認されています。対応方法についてはこちらをご覧ください。

※WebSphere Portalを本番環境でご使用の場合は、Global Securityが構成されています。一部、テスト環境や、導入直後のシステムではGlobal SecurityがOffのままご使用になられているケースもあります
Workplace製品群にて、WebSphere Portalをベースとして使用している場合も同様の事象になりますので、合わせてご注意ください。

Lotus Learning Management System (LMS) 1.0はWAS 5がベースであり、WASに準拠して該当します。対応策もWASに準拠します。

【対象製品リスト】
  • Instant Messaging and Web Conferencing (Sametime) 6.5.1
  • WebSphere Portal
  • Lotus Learning Management System(LMS)1.0
  • IBM Lotus Learning Management System(LMS) Offline Learning Client
上に戻る

Tivoli
IBM JCE1.2.1の証明書有効期限切れに伴うTivoli製品への影響についてはこちらをご覧ください 。

【対象製品リスト】
  • Tivoli Configuration Manager V4.2以降
  • Tivoli Remote Control V3.8
  • Tivoli Service Level Advisor V1.2.1
  • Tivoli License Manager
  • IBM Monitoring for Transaction Performance(TMTP) V5.2およびV5.3 TSRM(Tivoli Storage Resource Manager) 1.3, TSANM(Tivoli Storage Area Network Manager) 1.3

Tivoliセキュリティー関連製品情報はこちらをご覧ください。

【問題が発生する可能性のあるセキュリティー関連製品リスト】
  • Tivoli Access Manager for e-business V3.9, V4.1, V5.1
  • Tivoli Access Manager for Operating System V4.1, V5.1
  • Tivoli Identity Manager V4.4, V4.5, V4.5.1
  • IBM Tivoli Directory Integrator V5.1, V5.2
  • SecureWay Directory Server V3.2.1, V3.2.2
  • IBM Directory Server V4.1
  • IBM Tivoli Directory Server V5.1,V5.2
上に戻る

Rational
Rational 製品では、Rational Web Platform (ClearCase Web, ClearQuest Web など)を含む製品では、暗号化機能を使用していますが、JCE の暗号化機能は使用していません。
WebSphere Studio 製品 および Rational Web Developer(RWD), Rational Application Developer(RAD)など、WebSphere Application Serverの機能を内蔵している製品に関しては、WebSphere のガイドにしたがってください。

【対象製品リスト】
  • RWD/RAD
上に戻る

zSeries Software
WebSphere Application Server(WAS)for z/OSでは、SR25より前のレベルのJava for z/OS(SDK 1.3.1)を用いている環境において、2006年5月に有効期限切れの問題が発生する可能性があります。対象製品、対応方法についてはこちらをご覧ください。
Java for z/OSについてはこちらをご覧ください。

【対象製品リスト】
  • WAS for z/OS
上に戻る

iSeries
【対象製品リスト】
  • OS/400
  • HOD
  • Pcomm
  • HATS
上に戻る


4. お問い合わせ先

PAテクニカルサポート総合窓口
(有効なメンテナンス契約IBM番号をお持ちのお客様)
電話:0120-557-971
受付時間:月~金、 9時~17時(祝日、12月30日~1月3日を除く)

上に戻る


文書情報
製品/カテゴリー名 All Software Products
有効期限 2006年12月6日 

上に戻る



JCE 1.2.1有効期限問題
IBM Java実行環境におけるJCEの証明書期限切れの問題(Sun版は2005年7月28日、IBM版は2006年5月19日)