Java Plug-inおよびJava Web Startのセキュリティ仕様変更について
[お知らせ]
2006年8月24日掲載
富士通株式会社
お客様各位
平素より、富士通製品をご愛用いただき、ありがとうございます。
Sun Microsystems社より、「Java Plug-in and Java Web Start May Allow Applets and Applications to Run With Unpatched JRE : 200883(旧 102557)」(英文)が報告されました。問題の内容と対応について、ご連絡いたします。
本件はクライアントPC毎に対応が必要な問題を含んでいます。下記内容をご参照の上、問題の発生条件に該当されるお客様におかれましては、十分に注意し対処していただきますようお願い申し上げます。
1.脆弱性の概要と該当製品
- (1)Sun Alert 102557について
- クライアントで動作するアプレットやJava Web Start(JWS)でダウンロードされたJavaプログラムは、クライアント上のJava 2 Standard Edition, Development Kit(JDK)またはJava 2 Standard Edition, Runtime Environment(JRE)上で動作します(以降、JDKとJRE双方を指す意味でJREと記載)。
この動作するJREのバージョンを指定できる機能(Static Versioning)が、アプレットの場合はJava Plug-inに、Javaプログラムの場合はJWSに備わっています。
しかし、悪意のあるアプレットやJavaプログラムがこの機能を使用することで、脆弱性のある古いバージョンのJREが残っている環境では、この脆弱性を使用できることになります。
Sun Alert 102557では、この問題を解決するために、JRE 5.0 Update 6からユーザ側のデフォルト設定では常に最新版のJREを使用させるという仕様(Secure Static Versioning)に変更したことを通知しています。
5.0 Update 6以降のJREがインストールされている環境では、アプレットやJWSのJavaプログラムは次のように動作するようになります。- アプレットの場合、常に最新版のJRE (5.0 Update 6以降)上で動作します。
- Java Web Startの場合、最新版ではないJREが指定されていると、警告メッセージが表示され、ユーザがアプリケーションの実行許可を与えないと動作できなくなります。ただし、署名されたアプリケーションの場合は指定されたJREで動作することができます。詳細は「JRE 5.0 Update 6以降のJREをインストール後のJava Web Startの動作について」を参照願います。
- (2)Sun Alert 102557の影響について
- Sun Alert 102557の適用により、アプレットやJWSで動作するJavaプログラムはJRE5.0 Update6以降の上で動作するようになります。
ただし、この修正の適用により、従来、JRE5.0以外のJRE1.3.1やJRE1.4.1などで動作することを前提としていたアプレットやJavaプログラムもJRE5.0上で動作することになります。
原則としてJREのバージョンレベル間の上位互換は保証されますが、仕様の変更、セキュリティ強化などにより一部の機能が正しく動作しないことが予想されます。
この結果、アプレットやJava プログラムが正しく動作しないことが考えられます。
【発生条件】以下の条件全てを満たす環境でご利用されている場合- クライアントで複数のJREを混在して使用している
- JRE5.0 Update 6以降がインストールされている
- JRE5.0以前のJRE上で動作することを前提とした、Java Plug-In上で動作するアプレットをダウンロードしている、もしくは、JRE5.0以前のJRE上で動作することを前提としたJavaアプリケーションをJava Web Startによりダウンロード実行している
- JRE1.3.1上で動作することを前提としたプログラムが、内部の処理で文字列エンコードにMicrosoft Windows コードページ 932(MS932)として「Shift_JIS」 を指定している場合、JRE1.4.1以降ではエンコードの規約が変わり、「Shift_JIS」はJIS X208(SJIS)として扱われますので、JRE5.0 Update6ではこのプログラムが動作すると、正しく文字列コード処理が行われないことになります。この結果、正しく文字が表示されないなどの問題が発生することがあります。
2.対応方法
【発生条件】に該当するお客様におかれましては、クライアントPCに、JRE5.0 Update6以降と、それより前のJREを混在させないようにしてください。詳細については、ご購入いただいた販売会社または、当社技術員にお問い合わせください。
3.当社製品に対する影響
当社ミドルウェア製品でありますInterstage ApworksおよびInterstage Application Serverより提供されるJBKプラグインをご使用の場合、上記【発生条件】に該当しないため、影響はございません。
4.更新履歴
- 2006年8月24日 : 新規掲載
以上
Sun Microsystems社が公開した内容については、下記URLを参照してください。
- Sun Alert Notifications
「Java Plug-in and Java Web Start May Allow Applets and Applications to Run With Unpatched JRE : 200883(旧 102557)」(英文)
Java 2 Platform Standard Editionの非互換情報については、以下を参照願います。
- 旧バージョンとの互換性
http://sdc.sun.co.jp/java/docs/products/archive/j2se/1.4.1_07/ja/compatibility.html
http://java.sun.com/j2se/1.5.0/ja/compatibility.html
お問い合わせ先
ご購入いただいた販売会社または、当社技術員にお問い合わせください。