Ingram SUSE

Oracle เตรียมบล็อกไฟล์ Jar ที่เซ็นชื่อด้วย MD5

Oracle ระบุ หลังจากวันที่ 18 เมษายน 2017 Java Runtime Environment (JRE) จะทำเสมือนว่าไฟล์ Jar ที่เซ็นชื่อด้วยอัลกอริธึม MD5 เป็นไฟล์ Jar ที่ไม่มีการเซ็นชื่อใดๆ นั่นหมายความว่า ไฟล์ Jar เหล่านั้นไม่มีความมั่นคงปลอดภัย และจะถูกบล็อกไม่ให้รันการทำงาน

เดิมที Oracle ตั้งใจจะเลิกใช้ MD5 ใน Critical Patch Update (CPU) ประจำไตรมาสแรกที่เพิ่งออกไปเมื่อสัปดาห์ที่ผ่านมา แต่ก็เปลี่ยนให้ให้โอกาสนักพัฒนาและบริษัทซอฟต์แวร์มีเวลาในการเตรียมปรับตัว และจะยกเลิกการใช้ MD5 ใน Oracle Java SE 8u131 และใน Java CPU ถัดไปแทน ซึ่งคาดว่าเป็นช่วงประมาณเดือนเมษายน

ในการพัฒนา Java นั้น โปรแกรมเมอร์จะทำการเซ็นชื่อไฟล์ JAR เพื่อเป็นการพิสูจน์ตัวตนว่าใครเป็นผู้เขียนโค้ด ซึ่งสมัยยุค 90 เรียกได้ว่าเป็นที่นิยมมาก เนื่องจาก MD5 ถือเป็นอัลกอริธึมที่มีความมั่นคงปลอดภัยสูง แต่หลังจากยุค 2000 พบว่า MD5 เกิดช่องโหว่ Collision Attack ได้ง่าย ส่งผลให้ผู้ไม่ประสงค์ดีสามารถปลอมตัวเซ็นชื่อเป็นบุคคลอื่นได้ Oracle จึงตัดสินใจเตรียมยกเลิกการใช้ MD5 และแนะนำให้โปรแกรมเมอร์หันไปใช้อัลกอริธึมอื่นที่มีความแข็งแรงกว่าแทน

ก่อนหน้านี้ Oracle ได้นำ MD5 ออกจาก Defualt List ของการเซ็นชื่อไฟล์ Jar บน Java SE6 ที่ปล่อยออกมาให้ใช้งานเมื่อปี 2006 มาแล้ว สำหรับแอพพลิเคชัน Java เก่าที่ไม่มีการเซ็นชื่อใหม่ Oracle อนุญาตให้ผู้ดูแลระบบตั้งค่า Deployment Rule Set และ Exception Site List เพื่อให้รัน Java Applet และ แอพพลิเคชัน Java Web Start ที่เซ็นชื่อด้วย MD5 ได้

นอกจากนี้ คาดว่าในช่วงครึ่งหลังของปี 2017 Oracle จะทำการเปลี่ยนความยาวขั้นต่ำของกุญแจที่ใช้เข้ารหัสข้อมูลสำหรับอัลกอริธึม Diffie Hellman ไปเป็น 1024 bits ซึ่งการอัปเดตนี้เป็นส่วนหนึ่งของแผนระยะยาวของ Oracle เพื่อเพิ่มความมั่นคงปลอดภัยของ JRE และ Jave SE Development Kit (JDK) ให้สูงยิ่งขึ้น

รายละเอียดเพิ่มเติม: https://www.bleepingcomputer.com/news/security/oracle-to-block-jar-files-signed-with-md5-starting-with-april-2017/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] หัวเว่ยเปิดตัวสายผลิตภัณฑ์โซลูชันอินเทอร์เน็ตอัจฉริยะ ช่วยเสริมโครงสร้างพื้นฐาน ไอซีทีของมหาวิทยาลัยไทยและภาคองค์กรธุรกิจให้พร้อมรับมือทุกสถานการณ์

เมื่อเร็วๆ นี้ หัวเว่ยจัดงาน Huawei Asia Pacific IP Club Carnival 2021 ภายใต้หัวข้อ “พร้อมรับการเปลี่ยนแปลงด้วยเทคโนโลยีอินเทอร์เน็ตอัจฉริยะเพื่อขับเคลื่อนอนาคตใหม่ให้วงการ” พร้อมเผยว่าโซลูชันด้านการสื่อสารและส่งข้อมูลจะช่วยเร่งการเปลี่ยนผ่านสู่ยุคดิจิทัลในภาคอุตสาหกรรมต่าง ๆ และจะช่วยกลุ่มองค์กรธุรกิจรวมถึงสถาบันการศึกษาในประเทศไทยให้สามารถสร้างเทคโนโลยีดิจิทัลที่มีความยืดหยุ่น …

Cloudflare ออกฟีเจอร์ช่วยทำ Dynamic URL Rewriting

Cloudflare ได้ประกาศออกความสามารถ Transform Rules หรือการทำ URL Rewriting ซึ่งจะเกิดขึ้นตั้งแต่ระดับ Edge