7.0 Update 7 の諸機能および拡張機能
Web Server 7.0 Update 7 では Kerberos/SPNEGO のサポートが導入されています。このリリースでは、gssapi と呼ばれる新しい ACL 認証方法が導入されています。gssapi 認証方法は Kerberos ユーザーリポジトリと連携します。このリリースでは、gssapi 認証方法での使用に適した kerberos 型の auth-db も導入されています。
Kerberos 認証の設定については、『Oracle iPlanet Web Server 7.0.9 Administrator’s Guide』の「Working With the Authentication Database」を参照してください。
注 –
Solaris 上の Kerberos 対応 Web Server は、Windows 2003 上の IE や RHEL 5.3 上の Firefox などのクライアントとの組み合わせでテストされています。
Web Server 7.0 Update 7 は Windows 2008 SP2 32 ビット (x86) Enterprise Edition をサポートします。
Web Server 7.0 Update 7 には JDK 6 が含まれています。管理サーバーのパフォーマンスが向上しています。
Web Server 7.0 Update 7 には、脆弱性を修正する新しい Xerces C++ パッチが統合されています。詳細は、http://www.cert.fi/en/reports/2009/vulnerability2009085.html を参照してください。
注 –
Web Server 7.0 Update 7 では、Update 6 で誤って導入された LDAP 認証における回帰 (6888100) が解決されています。LDAP 認証を使用するすべての顧客に Update 7 へのアップグレードをお勧めします。
非推奨のプラットフォーム
注 –
Solaris 8 および Windows 2000 の各プラットフォームは非推奨です。これらのプラットフォームは、Web Server 7.0 Update 9 以降ではサポートされなくなる予定です。
SSL/TLS の脆弱性の修正 (CVE-2009-3555)
Web Server 7.0 Update 7 がアップグレードされ、SSL/TLS の再ネゴシエーションに関する脆弱性 (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555) への対策が施された NSS 3.12.5 が含まれるようになりました。
この脆弱性は、現在の SSL/TLS 再ネゴシエーションプロトコル定義の不備によるものです。Web Server 実装のバグではありません。そのような理由により、この脆弱性に対する実装レベルの修正は提供されません。Web Server を攻撃から守るための唯一の回避方法は、再ネゴシエーションを完全に無効化することです。
したがって、Web Server 7.0 Update 7 では SSL/TLS 再ネゴシエーションのすべての使用が無効になっています。クライアントまたは Web Server のどちらかが既存の SSL/TLS セッションで再ネゴシエーションをトリガーしようとすると、接続は失敗します。
SSL/TLS 接続が最初に確立されたあと、しばらく時間が経ってからクライアント証明書を取得する目的には、再ネゴシエーションを使用するのが一般的でした。現在では、Web アプリケーションがこの方法でクライアント証明書を取得しようとしても失敗します。
初期の接続ハンドシェークの間にクライアント証明書を取得する処理は、現在も正常に機能します。このモードは、server.xml で client-auth 要素を「required」に設定することによって設定できます。
<http-listener>
<ssl>
<client-auth>required</client-auth>
</ssl>
</http-listener>
|
Web Server 7 の将来のアップデートでは、IETF が新規のプロトコル拡張の設計を確定した時点で速やかに、安全な再ネゴシエーションプロトコルを実装する予定です。NSS_SSL_ENABLE_RENEGOTIATION=1 のように環境変数を設定することにより、脆弱性のある SSL/TLS 再ネゴシエーション機能を再び有効にすることが可能です。このモードは CVE-2009-3555 で説明されている攻撃に対して脆弱であることが確認されています。
Java SE 5.0 および 6.0 のサポート
Web Server は、32 ビット版の Java Platform, Standard Edition (Java SE) 5.0 と Java Platform, Standard Edition (Java SE) 6 をサポートします。64 ビット版の Web Server に対しては、64 ビット版の Java Development Kit (JDK) ソフトウェアサポートが利用可能になっています。
Solaris、Linux、および Windows では、JDK 6.0 Update 17 が Web Server 7.0 Update 8 リリースの一部として提供されます。
次の表に、さまざまなプラットフォームでサポートされている JDK バージョンの一覧を示します。
表 15 サポートされている JDK バージョン|
オペレーティングシステム |
サポートされている Java SE バージョン |
Web Server に同梱されているかどうか |
64 ビットのサポート (あり/なし) |
|---|---|---|---|
|
Solaris SPARC |
1.5.0_22 1.6.0_17 |
いいえ はい |
はい |
|
Solaris x86/AMD、AMD64 |
1.5.0_22 1.6.0_17 |
いいえ はい |
はい |
|
Linux (32 ビット) Linux (64 ビット) |
1.5.0_22 1.6.0_17 |
いいえ はい |
いいえ はい |
|
Windows |
1.5.0_22 1.6.0_17 |
いいえ はい |
いいえ |
|
HP-UX |
1.5.0.16 (1.5.0.12–_21_mar_2008_11_52) 1.6.0.04 |
いいえ |
いいえ |
|
AIX |
1.5.0 pap32dev-20080315 (SR7) 1.6.0 pap3260sr2–20080416_01(SR1) |
いいえ |
いいえ |
インストール時には、JDK の有効なパスを指定する必要があります。製品に同梱されていない JDK バージョンを使用するには、次の場所からソフトウェアをダウンロードします。
JDK Version 1.6.0: http://java.sun.com/javase/downloads/index.jsp
JDK Version 1.5.0: http://www.hp.com/products1/unix/java/java2/jdkjre5_0/index.html
AIX プラットフォーム上で JDK 1.5.0 を使用すると、管理サーバーが起動に失敗し、「管理サーバーの証明書データベースを検出/オープンできません」というエラーメッセージが表示される可能性があります。これは、インストールされた JDK の制限されたセキュリティーポリシーと、キーサイズの制限が原因です。
SDK のセキュリティー情報の詳細については、http://www.ibm.com/developerworks/java/jdk/security/50/ を参照してください。
この問題を解決するには、「IBM SDK ポリシーファイル」をクリックして制限されていないセキュリティーポリシーをダウンロードします。ダウンロードした ZIP ファイルを展開すると、2 つの JAR ファイルが JRE ディレクトリ (jre/lib/security/) 内に配置されます。
- © 2010, Oracle Corporation and/or its affiliates