ORACLE BLOQUEA ARCHIVOS .JAR FIRMADOS CON MD5

Oracle del 18 de abril de 2017, los archivos JAR firmados con el algoritmo MD5 sin signo, seran considerados inseguros y bloqueados al ejecutarse.

Oracle planea la desaprobación de MD5 para la Actualización Crítica (CPU), que incluía la friolera de 270 correcciones de seguridad, una de las actualizaciones de seguridad más grandes hasta la fecha.

La compañía decidió dar a los desarrolladores y las empresas más tiempo para preparar y retrasó desaprobación de MD5 para la versión de Oracle Java SE 8u131 al siguiente Java CPU, prevista para abril.

El MD5, que es un algoritmo hash básica, se ha ido eliminando poco a poco de los navegadores y otras tecnologías en los últimos años después de que se ha demostrado que era inseguro y fáciles de romper en el inicio de la década de 2000.

En el desarrollo de Java, los programadores firman sus archivos JAR como una forma de verificar quién escribió el código. En los años 90, cuando MD5 se considera segura, se convirtió en el algoritmo preferido para firmar archivos JAR.

Al comienzo del nuevo milenio, los investigadores demostraron que un atacante podría proporcionar dos entradas diferentes y obtener el mismo hash de salida, permitiendo al atacante falsificar firmas MD5.

En los últimos años, Oracle ha estado aconsejando a los desarrolladores de Java para utilizar claves de firma de código de gran alcance y dedicados en su lugar. De hecho, Oracle retira MD5 como una opción de firma de código por defecto de Java SE 6, publicado en 2006.

Los archivos JAR-MD5 firmados funcionará sólo si los administradores de sistemas lo permiten

A pesar de esto, habrá miles de aplicaciones Java que nunca se resignan. Para esto, Oracle permitirá a los administradores del sistema configurar los conjuntos de reglas de despliegue personalizados y el sitio enumera excepción para permitir que los applets de Java y aplicaciones Java Web Start firmados con MD5 para funcionar.

A veces, en la segunda mitad de 2017, Oracle también planea cambiar la longitud mínima de clave para los algoritmos Diffie-Hellman de 1024 bits. Estos cambios son parte del plan de largo alcance de Oracle para los cambios en los algoritmos de seguridad en Oracle Java Runtime Environment (JRE) y Java SE Development Kit (JDK).

Algunas de las instrucciones proporcionadas por Oracle para desarrolladores de Java en el boletín crítico parche de actualización de octubre.

Para comprobar si se ha utilizado un algoritmo débil o clave para firmar un fichero JAR, puede utilizar la jarsigner que se incluye con este JDK. Ejecutarr jarsigner -verify -J-Djava.security.debug=jar on a JAR file JAR firmado con un algoritmo de clave débil o imprimirá más información sobre el algoritmo.

Por ejemplo, para comprobar un archivo JAR especificado test.jar , utilice el siguiente comando: jarsigner -verify -J-Djava.security.debug=jar test.jar

Si el archivo de este ejemplo fue firmado con un algoritmo de firma débil como MD2withRSA, se mostrará el siguiente resultado:


jar: beginEntry META-INF/my_sig.RSA
jar: processEntry: processing block
jar: processEntry caught: java.security.SignatureException: Signature check failed. Disabled algorithm used: MD2withRSA
jar: done with meta!
"La firma no apta para su procesamiento o verificable El .jar será tratada como sin firmar el jar puede haber sido firmado con un algoritmo débil que ahora está desactivada Para obtener más información, vuelva a ejecutar.. jarsigner con depuración activada ( -J-Djava.security.debug = tarro ) "

Para abordar el problema, tendrá que ser re-firmado con un algoritmo más fuerte o tamaño de la clave del archivo JAR.

Alternativamente, las restricciones pueden ser revertidos mediante la eliminación de los algoritmos aplicables débiles o tamaños de clave de la jdk.jar.disabledAlgorithms propiedad de seguridad. Sin embargo, no se recomienda esta opción. Antes afectados de volver a firmar archivos JAR, la firma existente debe ser retirado. Esto se puede hacer con el zip utilidad, como sigue: zip -d test.jar 'META-INF/*.SF' 'META-INF/*.RSA' 'META-INF/*.DSA'

Para probar si los jar han sido firmados con MD5, añadir MD5 a la jdk.jar.disabledAlgorithms propiedad de seguridad, por ejemplo: jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024

Y luego ejecutar jarsigner -verify -J-Djava.security.debug = jar en sus archivos JAR como se ha descrito anteriormente.


Versión movil Fecha actualización el 2017-5-6. Fecha publicación el . Categoría: Oracle. Autor: Mapa del sitio
oracle