test

Sun Java System Web Server 6.1 SP13 リリースノート

以前の Web Server 6.1 リリースの機能および拡張機能

Web Server 6.1 SP12 より前の Web Server 6.1 サービスパックリリースの機能および拡張機能については、各リリースに固有のリリースノートで説明されています。これらは docs.sun.com (http://docs.sun.com/prod/sjs.websvr61#hic) で入手できます。この節では、6.1 SP11 から現行リリースまでの Web Server 6.1 サービスパックリリースで提供されている重要な機能および拡張機能の一覧を示します。

6.1 SP12 の機能および拡張機能

Solaris、Linux、および Windows プラットフォームで、Web Server 6.1 SP12 に JDK 1.6.0_17 が含まれるようになりました。Web Server 6.1 SP12 は、下位互換性のために JDK 5 を引き続きサポートします。個別のプラットフォームでサポートされるバージョンについては、「J2SE および Java SE のサポート」を参照してください。

このリリースでは、セキュリティーの脆弱性に関連したバグを含む重要なバグが修正されています。

SSL/TLS の脆弱性の修正 (CVE-2009-3555)

Web Server 6.1 SP12 がアップグレードされ、SSL/TLS の再ネゴシエーションに関する脆弱性 (http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-3555) への対策が施された NSS 3.12.5 が含まれるようになりました。

この脆弱性は、現在の SSL/TLS 再ネゴシエーションプロトコル定義の不備によるものです。Web Server 実装のバグではありません。そのような理由により、この脆弱性に対する実装レベルの修正は提供されません。Web Server を攻撃から守るための唯一の回避方法は、再ネゴシエーションを完全に無効化することです。

したがって、Web Server 6.1 SP12 では SSL/TLS 再ネゴシエーションのすべての使用が無効になっています。クライアントまたは Web Server のどちらかが既存の SSL/TLS セッションで再ネゴシエーションをトリガーしようとすると、接続は失敗します。

SSL/TLS 接続が最初に確立されたあと、しばらく時間が経ってからクライアント証明書を取得する目的には、再ネゴシエーションを使用するのが一般的でした。現在では、Web アプリケーションがこの方法でクライアント証明書を取得しようとしても失敗します。

初期の接続ハンドシェークの間にクライアント証明書を取得する処理は、現在も正常に機能します。このモードは、server.xmlclient-auth 要素を「required」に設定することによって設定できます。


<http-listener>
   <ssl>
      <client-auth>required</client-auth>
   </ssl>
</http-listener>

Web Server 6.1 の将来のアップデートでは、IETF が新規のプロトコル拡張の設計を確定した時点で速やかに、安全な再ネゴシエーションプロトコルを実装する予定です。NSS_SSL_ENABLE_RENEGOTIATION=1 のように環境変数を設定することにより、脆弱性のある SSL/TLS 再ネゴシエーション機能を再び有効にすることが可能です。このモードは CVE-2009-3555 で説明されている攻撃に対して脆弱であることが確認されています。