概要
オラクル社からリリースされた下記のJava SE Development Kit(以降、JDKと表記)において、
署名アルゴリズム「MD5withRSA」を無効化する仕様変更が行われました。
オラクル社 JDK
- Java SE Advanced 契約ユーザ向け Java SE Development Kit 7 Update 95(以降、JDK 7u95と表記)
- Java SE Advanced 契約ユーザ向け Java SE Development Kit 6 Update 115(以降、JDK 6u115と表記)
この仕様変更により、SSLを有効化したRMIプロトコルを利用して
ドメインに接続している場合、ドメインへの接続に失敗します。
また、ヒューレット・パッカード社からリリースされた下記のJDKに、
上記のオラクル社JDKのアップデート内容が取り込まれました。
このため、下記のJDKをご利用の場合も同じ事象が発生いたします。
ヒューレット・パッカード社 JDK
- Version 7.0.16 - March 2016 (includes Oracle update 7u95)
- Version 6.0.31 - May 2016 (includes Oracle update 6u121)
影響のある製品
- WebOTX Application Server Web Edition V8.1
- WebOTX Application Server Standard-J Edition V8.1
- WebOTX Application Server Express V8.2~V8.4
- WebOTX Application Server Foundation V8.2~V8.4
- WebOTX Application Server Standard V8.2~V8.4
- WebOTX Application Server Enterprise V8.2~V8.4
- WebOTX SIP Application Server Standard Edition V8.1
- WebOTX Enterprise Service Bus V8.1~8.5
- WebOTX Batch Server V8.4 (*1)
- WebOTX Portal V8.2~V8.4
- WebOTX Developer V8.1~V8.4
- WebOTX Cluster V8.1~V8.4
(*1) WebOTX Batch Server V8.3では、本問題は発生いたしません。
詳細
SSLを有効化したRMIプロトコルを利用してドメインに接続している場合、
運用管理コマンドや統合運用管理ツール(WebOTX Administrator)から
ドメインへの接続に失敗します。
WebOTXのデフォルトの設定ではRMIプロトコルのSSLは無効となっているため、
デフォルトの設定のままで運用している場合、本事象は発生いたしません。
SSLを有効化している場合は、本事象が発生いたします。
SSLを有効化しているかは下記の手順で確認できます。
- 運用管理コマンド(otxadmin)による確認方法
- 運用管理コマンド(otxadmin)で対象のドメインにログインします。
- 下記のコマンドを実行します。
otxadmin>get server.admin-service.jmx-connector.system.security-enabled |
上記のコマンドの実行結果が「true」の場合、SSLが有効化されています。
実行結果が「false」の場合は、SSLは無効化されていますので本事象は発生いたしません。
対処方法
本件に対するパッチの公開時期は現在検討中です。
急ぎでパッチが必要な場合はご連絡ください。
回避方法
JDKのjava.securityファイルを編集することで「MD5withRSA」を再度有効化できます。
- 以下のファイルをテキストエディタで開きます。
<JDKのインストールディレクトリ>\jre\lib\security\java.security
- プロパティ「jdk.certpath.disabledAlgorithms」の値から「MD5」を削除します。
(修正前) jdk.certpath.disabledAlgorithms=MD2, MD5, RSA keySize < 1024
(修正後) jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 1024
- プロパティ「jdk.tls.disabledAlgorithms」の値から「MD5withRSA」を削除します。
(修正前) (修正前) jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 768
(修正後) (修正後) jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 768
- WebOTXを再起動します。
JDK のバージョンにより、値の内容が上記とは異なる場合がありますが、
「MD5」および「MD5withRSA」の削除のみを実施してください。
関連情報
更新履歴