HIRT-PUB14001：Java Runtime Environment (JRE) 7 でのセキュリティ機能の強化と導入にあたっての注意事項について

更新日：2014年02月12日

1. 概要

Java Runtime Environment (JRE) 7 では、Update 10 以降、セキュリティ機能の強化が図られています。特に、Update 51より、"信頼できる認証局からのコード署名"、"マニフェスト属性" のセキュリティ要件が変更され、該当要件を満たしていない Java アプレットや Web Start アプリケーションが正常に動作しなくなる事象が生じる可能性があります。

ブラウザのJavaコンテンツ - セキュリティの変更
http://www.java.com/ja/download/faq/signed_code.xml
Java 7リリースのハイライト
http://www.java.com/ja/download/faq/release_changes.xml

2. 影響を受けるシステム

Java アプレットや Web Start アプリケーションを使用している日立製品

3. 想定される影響

Java アプレットや Web Start アプリケーションが正常に動作しなくなる事象が生じる可能性があります。

4. 対策

各製品から発信されている注意事項に沿って、対処してください。

2014年2月5日発行 (製品追加)

HP-UX AAA Server
HP Integrity Virtual Server Manager

Oracle Java 7 Update 51のセキュリティに関する仕様変更の影響について

2014年1月31日発行 (製品追加)

Hitachi Universal Storage Platform
Hitachi Network Storage Controller
Hitachi Unified Storage Platform V
Hitachi Unified Storage Platform VM
Hitachi Virtual Storage Platform
Hitachi Unified Storage VM
Hitachi Adaptable Modular Storage
Hitachi Workgroup Modular Storage
Hitachi Adaptable Modular Storage2000
Hitachi Unified Storage 100

Oracle Java 7 Update 51のセキュリティに関する仕様変更の影響について

2014年1月17日発行

JP1/Integrated Management - Manager(WWWページ版のJP1/Integrated Management - View機能使用時だけ該当)
JP1/Data Highway - Server
JP1/Cm2/SNMP System Observer
JP1/Integrated Management - Universal CMDB
JP1/Server Conductor/Blade Server Manager
JP1/Server Conductor/Deployment Manager
uCosminexus TP1/Client/J
Symantec Scan Engine, Symantec Protection Engine for Cloud Services
Hitachi Unified Compute Platform Pro for VMware vSphere(R) (IaaS基盤モデル) の Hitachi Unified Compute Platform Director
HA8000シリーズ, HA8000-bdシリーズ, Blade Symphonyシリーズ

Oracle Java 7 Update 51のセキュリティに関する仕様変更の影響について

2013年12月27日発行

日立アドバンストサーバHA8000シリーズ

Oracle社製Java Runtime Environment(以下、JRE) Version 7 update21以降のバージョンを導入する際の注意事項について

統合サービスプラットフォームBladeSymphony

Oracle社製Java Runtime Environment(以下、JRE) Version 7 update21以降のバージョンを導入する際の注意事項について

2013年12月20日発行

JP1/Integrated Management - Manager
(WWWページ版のJP1/Integrated Management - View機能使用時だけ該当)
JP1/Data Highway - Server
JP1/Cm2/SNMP System Observer
JP1/Integrated Management - Universal CMDB
JP1/Server Conductor/Blade Server Manager
JP1/Server Conductor/Deployment Manager
uCosminexus TP1/Client/J
Symantec Scan Engine, Symantec Protection Engine for Cloud Services
Hitachi Unified Compute Platform Pro for VMware vSphere(R) (IaaS基盤モデル) の Hitachi Unified Compute Platform Director

Oracle Java 7 update45により影響を受ける弊社ミドルウェア製品・統合プラットフォーム製品について

page top

5. JRE 7 のセキュリティ機能強化の概要

JRE 7 の各 Update のセキュリティ機能強化は、次の通りです。

Java 7 Update 51 (7u51) [ 2014年1月 ]

高セキュリティ設定(デフォルト設定)における自己署名付きおよび署名なしのリッチインターネットアプリケーションのブロック
高セキュリティ設定(デフォルト設定)におけるマニフェスト権限属性なしのリッチインターネットアプリケーションのブロック
例外サイトリスト

Java コントロールパネルに例外サイトリストが追加されました (図A1)。
また、7u51 を利用する際には、使用中のリッチインターネットアプリケーション(RIA：Rich Internet Applications、Java アプレットや Java Web Start アプリケーションのこと) に、次の2つが含まれている必要があります (表1)。

a.信頼できる認証局からのコード署名

権限属性に関係なく、アプレットおよび Web Start アプリケーションのすべてのコードは、信頼できる認証局によって署名されている必要があります。

b.マニフェスト属性 (図1)

権限
7u25で導入され、7u51では必須です。RIA をサンドボックス内で実行する必要があるか、完全な権限が必要であるかを指定します。

codebase
7u25で導入され、7u51では、オプションまたは推奨です。提供されるコードの既知の場所を指定します。

表1：セキュリティ要件と 7u45/7u51 での動作状況

セキュリティ要件		7u45	7u51
コード署名	マニフェスト権限属性	7u45	7u51
なし	なし	セキュリティダイアログ (図4)	実行がブロックされる (図A2、図A3)
なし	あり	セキュリティダイアログ (図4)
あり	なし	セキュリティダイアログ (図3)
あり	あり	セキュリティプロンプト (図7)

図1：マニフェストファイル(MANIFEST.MF)の構成 [*1]

*1): マニフェストファイルで、権限属性を "sandbox"にした場合、HTMLファイルの<applet>タブでも "sandbox" を指定する必要があります。
例
<applet ・・(略)・・>
<param name="permissions" value="sandbox" />
</applet>

図A1：7u51 の Java コントロールパネル

図A2：7u51 実行をブロックするエラー表示の例(自己署名付きの場合)

図A3：7u51 実行をブロックするエラー表示の例(マニフェスト権限属性未設定の場合) [*2]

*2): Java SE 7 Update 51 リリースノートによれば、コード署名あり、マニフェスト権限属性なしの JAR ファイルの場合には、実行をブロックするエラー表示の前に(図A3)、マニフェスト権限属性の未設定を警告するセキュリティダイアログ(図3)が表示される場合があるとしています。

Java SE 7 Update 51 リリースノート

http://www.oracle.com/technetwork/java/javase/7u51-relnotes-2085002.html

New security requirements for RIAs in 7u51 (January 2014)

https://blogs.oracle.com/java-platform-group/entry/new_security_requirements_for_rias

Deploying With the Applet Tag

http://docs.oracle.com/javase/tutorial/deployment/applet/html.html

表1へ | page top

Java 7 Update 45 (7u45) [ 2013年10月 ]

セキュリティプロンプトの復元
マニフェスト権限属性の設定に対する機能強化

Java コントロールパネルにセキュリティプロンプトの復元ボタンが追加されました (図2)。復元ボタンは、セキュリティプロンプトで「次回から表示しない」オプションを選択し非表示にしたプロンプトをリセットする機能です。また、マニフェスト権限属性の設定に対する機能強化の一環として、「JAR ファイルのマニフェストに権限属性が含まれていないため、このアプリケーションは、今後の Java セキュリティアップデートでブロックされます」というメッセージがセキュリティダイアログで表示されるようになりました (図3)。

図2：7u45 の Java コントロールパネル

図3：7u45 マニフェスト権限属性の未設定を警告するセキュリティダイアログの例

チェックしておきたい脆弱性情報＜2013.11.06＞ Java SE 7 Update 45リリース (2013/10/16)

http://itpro.nikkeibp.co.jp/article/COLUMN/20131104/515703/?ST=security

Java SE 7 Update 45 リリースノート

http://www.oracle.com/technetwork/java/javase/7u45-relnotes-2016950.html

表1へ | page top

Java 7 Update 40 (7u40) [ 2013年9月 ]

署名なしおよび自己署名付きのアプリケーションでの新しいセキュリティダイアログ
署名なしおよび自己署名付きのアプリケーションでのセキュリティダイアログ抑止の無効化
1024ビット未満の RSA 鍵を持つ証明書の使用制限
管理対象デスクトップ内アプリケーションのホワイトリストへの登録

「信頼できる認証局からのコード署名」に対する機能強化の一環として、署名なしおよび自己署名付きのアプリケーションに対するセキュリティが強化され、「このアプリケーションでは次回から表示しない」のオプションが使用できなくなりました。さらに、「安全でなくセキュリティ上のリスクが生じる可能性があるため、将来のリリースでブロックされます」というメッセージがセキュリティダイアログで表示されるようになりました (図4)。

証明書の使用制限では、Java 7 Update 40 (7u40) 以降、1024 ビット未満の RSA 鍵を持つ証明書の使用が制限 (証明書の鍵長の最小値に対する制限) されます。また、ホワイトリストへの登録では、デプロイメントルールセットを使用してユーザのコンピュータ上で実行する特定の Java アプリケーションをホワイトリストに登録できるようになりました。

図4：7u40 自己署名付きのアプリケーションを警告するセキュリティダイアログの例

チェックしておきたい脆弱性情報＜2013.10.02＞ Java SE 7 Update 40リリース (2013/09/10)

http://itpro.nikkeibp.co.jp/article/COLUMN/20130930/507756/?ST=security&P=2

Java SE 7 Update 40 リリースノート

http://www.oracle.com/technetwork/java/javase/7u40-relnotes-2004172.html

表1へ | page top

Java 7 Update 25 (7u25) [ 2013年6月 ]

証明書失効に対応したセキュリティダイアログの追加
マニフェストファイルに新しい属性(権限属性および codebase 属性)を導入

署名付き Java アプレットおよび Java Web Start アプリケーションが実行される前に、署名証明書が期限切れでないこと、つまり失効していないことがチェックされ、失効している場合には、セキュリティダイアログが表示されるようになりました (図5)。また、マニフェストファイルに、権限属性および codebase 属性が導入されました (図1)。