本文へジャンプ

Hitachi Incdent Response Team

Hitachi

更新日:2014年02月12日

1. 概要

Java Runtime Environment (JRE) 7 では、Update 10 以降、セキュリティ機能の強化が図られています。 特に、Update 51より、"信頼できる認証局からのコード署名"、"マニフェスト属性" のセキュリティ要件が変更され、 該当要件を満たしていない Java アプレットや Web Start アプリケーションが正常に動作しなくなる事象が生じる可能性があります。

2. 影響を受けるシステム

Java アプレットや Web Start アプリケーションを使用している日立製品

3. 想定される影響

Java アプレットや Web Start アプリケーションが正常に動作しなくなる事象が生じる可能性があります。

4. 対策

各製品から発信されている注意事項に沿って、対処してください。

2014年2月5日発行 (製品追加)

HP-UX AAA Server
HP Integrity Virtual Server Manager

2014年1月31日発行 (製品追加)

Hitachi Universal Storage Platform
Hitachi Network Storage Controller
Hitachi Unified Storage Platform V
Hitachi Unified Storage Platform VM
Hitachi Virtual Storage Platform
Hitachi Unified Storage VM
Hitachi Adaptable Modular Storage
Hitachi Workgroup Modular Storage
Hitachi Adaptable Modular Storage2000
Hitachi Unified Storage 100

2014年1月17日発行

JP1/Integrated Management - Manager(WWWページ版のJP1/Integrated Management - View機能使用時だけ該当)
JP1/Data Highway - Server
JP1/Cm2/SNMP System Observer
JP1/Integrated Management - Universal CMDB
JP1/Server Conductor/Blade Server Manager
JP1/Server Conductor/Deployment Manager
uCosminexus TP1/Client/J
Symantec Scan Engine, Symantec Protection Engine for Cloud Services
Hitachi Unified Compute Platform Pro for VMware vSphere(R) (IaaS基盤モデル) の Hitachi Unified Compute Platform Director
HA8000シリーズ, HA8000-bdシリーズ, Blade Symphonyシリーズ

2013年12月27日発行

日立アドバンストサーバHA8000シリーズ

統合サービスプラットフォームBladeSymphony

2013年12月20日発行

JP1/Integrated Management - Manager
(WWWページ版のJP1/Integrated Management - View機能使用時だけ該当)
JP1/Data Highway - Server
JP1/Cm2/SNMP System Observer
JP1/Integrated Management - Universal CMDB
JP1/Server Conductor/Blade Server Manager
JP1/Server Conductor/Deployment Manager
uCosminexus TP1/Client/J
Symantec Scan Engine, Symantec Protection Engine for Cloud Services
Hitachi Unified Compute Platform Pro for VMware vSphere(R) (IaaS基盤モデル) の Hitachi Unified Compute Platform Director

5. JRE 7 のセキュリティ機能強化の概要

JRE 7 の 各 Update のセキュリティ機能強化は、次の通りです。

Java 7 Update 51 (7u51) [ 2014年1月 ]

  • 高セキュリティ設定(デフォルト設定)における自己署名付きおよび署名なしのリッチインターネットアプリケーションのブロック
  • 高セキュリティ設定(デフォルト設定)におけるマニフェスト権限属性なしのリッチインターネットアプリケーションのブロック
  • 例外サイトリスト

Java コントロールパネルに例外サイトリストが追加されました (図A1)。
また、7u51 を利用する際には、使用中のリッチインターネットアプリケーション(RIA:Rich Internet Applications、Java アプレットや Java Web Start アプリケーションのこと) に、次の2つが含まれている必要があります (表1)。

  1. 信頼できる認証局からのコード署名
    権限属性に関係なく、アプレットおよび Web Start アプリケーションのすべてのコードは、信頼できる認証局によって署名されている必要があります。
  2. マニフェスト属性 (図1)
    • 権限
      7u25で導入され、7u51では必須です。RIA をサンドボックス内で実行する必要があるか、完全な権限が必要であるかを指定します。
    • codebase
      7u25で導入され、7u51では、オプションまたは推奨です。提供されるコードの既知の場所を指定します。

表1:セキュリティ要件と 7u45/7u51 での動作状況

セキュリティ要件7u457u51
コード署名マニフェスト権限属性
なしなしセキュリティダイアログ (図4)実行がブロックされる
(図A2、図A3)
あり
ありなしセキュリティダイアログ (図3)
ありセキュリティプロンプト (図7)

7u51 MANIFEST.MF
図1:マニフェストファイル(MANIFEST.MF)の構成 [*1]

*1)
マニフェストファイルで、権限属性を "sandbox"にした場合、HTMLファイルの<applet>タブでも "sandbox" を指定する必要があります。

<applet ・・(略)・・>
<param name="permissions" value="sandbox" />
</applet>

7u51 Java Control Panel
図A1:7u51 の Java コントロールパネル

7u51 Security Dialog
図A2:7u51 実行をブロックするエラー表示の例(自己署名付きの場合)

7u51 Security Dialog
図A3:7u51 実行をブロックするエラー表示の例(マニフェスト権限属性未設定の場合) [*2]

*2)
Java SE 7 Update 51 リリースノートによれば、コード署名あり、マニフェスト権限属性なしの JAR ファイルの場合には、 実行をブロックするエラー表示の前に(図A3)、マニフェスト権限属性の未設定を警告するセキュリティダイアログ(図3)が表示される場合があるとしています。


Java 7 Update 45 (7u45) [ 2013年10月 ]

  • セキュリティプロンプトの復元
  • マニフェスト権限属性の設定に対する機能強化

Java コントロールパネルにセキュリティプロンプトの復元ボタンが追加されました (図2)。復元ボタンは、セキュリティプロンプトで「次回から表示しない」オプションを選択し非表示にしたプロンプトをリセットする機能です。また、マニフェスト権限属性の設定に対する機能強化の一環として、「JAR ファイルのマニフェストに権限属性が含まれていないため、このアプリケーションは、今後の Java セキュリティアップデートでブロックされます」というメッセージがセキュリティダイアログで表示されるようになりました (図3)。

7u45 Java Control Panel
図2:7u45 の Java コントロールパネル

7u45 Security Dialog
図3:7u45 マニフェスト権限属性の未設定を警告するセキュリティダイアログの例


Java 7 Update 40 (7u40) [ 2013年9月 ]

  • 署名なしおよび自己署名付きのアプリケーションでの新しいセキュリティダイアログ
  • 署名なしおよび自己署名付きのアプリケーションでのセキュリティダイアログ抑止の無効化
  • 1024ビット未満の RSA 鍵を持つ証明書の使用制限
  • 管理対象デスクトップ内アプリケーションのホワイトリストへの登録

「信頼できる認証局からのコード署名」に対する機能強化の一環として、署名なしおよび自己署名付きのアプリケーションに対するセキュリティが強化され、「このアプリケーションでは次回から表示しない」のオプションが使用できなくなりました。さらに、「安全でなくセキュリティ上のリスクが生じる可能性があるため、将来のリリースでブロックされます」というメッセージがセキュリティダイアログで表示されるようになりました (図4)。

証明書の使用制限では、Java 7 Update 40 (7u40) 以降、1024 ビット未満の RSA 鍵を持つ証明書の使用が制限 (証明書の鍵長の最小値に対する制限) されます。また、ホワイトリストへの登録では、デプロイメントルールセットを使用してユーザのコンピュータ上で実行する特定の Java アプリケーションをホワイトリストに登録できるようになりました。

7u40 Security Dialog
図4:7u40 自己署名付きのアプリケーションを警告するセキュリティダイアログの例


Java 7 Update 25 (7u25) [ 2013年6月 ]

  • 証明書失効に対応したセキュリティダイアログの追加
  • マニフェストファイルに新しい属性(権限属性および codebase 属性)を導入

署名付き Java アプレットおよび Java Web Start アプリケーションが実行される前に、署名証明書が期限切れでないこと、つまり失効していないことがチェックされ、失効している場合には、セキュリティダイアログが表示されるようになりました (図5)。 また、マニフェストファイルに、権限属性および codebase 属性が導入されました (図1)。

7u25 Security Dialog
図5:7u25 証明書の失効を警告するセキュリティダイアログの例


Java 7 Update 21 (7u21) [ 2013年4月 ]

  • Java コントロールパネルのセキュリティレベルの変更
  • HTTPS と混合コードソースに関するセキュリティダイアログの変更
  • 確認を求めるセキュリティプロンプトの表示

Java コントロールパネルのセキュリティレベルから低およびカスタム設定が削除されました (図6)。 また、ブラウザで Java コンテンツ (アプレットとアプリケーションを含む) の実行を許可する前に、確認を求めるセキュリティプロンプトが表示されるようになりました (図7)。

7u21 Java Control Panel
図6:7u21 の Java コントロールパネル

7u21 Security Dialog
図7:7u21 ユーザの確認を促すセキュリティプロンプトの例


Java 7 Update 10 (7u10) [ 2012年12月 ]

  • Java アプリケーション実行の明示的な許可
  • セキュリティレベルを選択する機能の導入

Java アプリケーションの実行を明示的に許可するチックボックス、セキュリティレベルを選択する機能が導入されました (図8)。

7u10 Java Control Panel
図8:7u10 の Java コントロールパネル

6. 関連情報

7. 更新履歴

2014年02月12日
  • 4. 対策:2014年1月31日、2月5日発行を追記しました。
2014年01月20日
  • 4. 対策:2014年1月17日発行を追記しました。
2014年01月16日
  • Java 7 Update 51 (7u51) の節を改訂し、図A1〜図A3を追加しました。
2014年01月07日
  • このページを新規作成および公開しました。

担当:寺田、沼田、大西/HIRT