すべてのブログ投稿を表示

25.0.0.2でのより強力なパスワード暗号化と更新されたガイド

David Mueller and 西尾実優香 (翻訳) 2025年2月25日

発表 , リリース , セキュリティ ,

他言語版へのリンク: English ,

25.0.0.2リリースには、256ビットAESパスワード暗号化、Open Libertyガイドの更新、およびCVE修正が含まれています。

Open Liberty 25.0.0.2では以下のアップデートが行われました。

AES-256パスワード暗号化のサポート
前回のリリース以降の新規および更新されたガイド
セキュリティ脆弱性（CVE）修正

25.0.0.2で修正されたバグの一覧をご確認ください。

過去の Open Liberty GAリリースのブログ投稿をご覧ください。

25.0.0.2を使用してアプリを開発・実行する

Mavenを使用している場合は、 pom.xml ファイルに以下の内容を含めます。

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.11.2</version>
</plugin>

Gradleを使用している場合は、 build.gradle ファイルに以下の内容を含めます。

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.9.2'
    }
}
apply plugin: 'liberty'

コンテナ・イメージを使用している場合は以下です。

FROM icr.io/appcafe/open-liberty

または、ダウンロード・ページをご覧ください。

IntelliJ IDEA, Visual Studio CodeまたはEclipse IDEを使用している場合は、オープンソースの Liberty開発者ツールを活用して、IDE 内で効果的な開発、テスト、デバッグ、およびアプリケーション管理を行うことができます。

AES-256パスワード暗号化のサポート

Open Libertyは、server.xmlファイルに格納されるパスワードのAdvanced Encryption Standard (AES) 暗号化をサポートしています。このAES 暗号化では、AES-256ビットキーが使用されるようになりました。AES復号化については、Open LibertyはAES-128とAES-256の両方をサポートしています。以前は、Open LibertyのAESパスワード暗号化および復号化には128ビットキーのみが使用されていました。256ビットキーは暗号化を強化し、暗号化されたパスワードの安全性を高めます。

AES-256暗号化でパスワードを暗号化するには、 --encoding=aes オプションを指定して、 wlp/bin ディレクトリから securityUtility encode コマンドを実行します。

securityUtility encode --encoding=aes superAES256password

応答は、以下のような256ビットAESで暗号化されたパスワードになります。

{aes}ARAmkTCr3of9G0gvieyx7NtHFbeX5fiueD6yGTvnYzyFMxyg7Cd5V6Ew34uxunYb0pYixwDiR6V2qCx2Yxm9io4KBZiW8T9GJLCut1ClauY7GNBM6lFM+PMZfCaScPzUgSE07PJYI37WQ8lSzjaeWGCA+K5dlA==

このパスワードを、 server.xml ファイル内のキーストア定義などで使用できます。

<keyStore id="MyKeyStore" password="{aes}ARAmkTCr3of9G0gvieyx7NtHFbeX5fiueD6yGTvnYzyFMxyg7Cd5V6Ew34uxunYb0pYixwDiR6V2qCx2Yxm9io4KBZiW8T9GJLCut1ClauY7GNBM6lFM+PMZfCaScPzUgSE07PJYI37WQ8lSzjaeWGCA+K5dlA==" />

詳細については、以下のリソースをご覧ください。

前回のリリース以降の新規および更新されたガイド

Open Libertyのフィーチャーと機能性が拡大し続ける中で、私たちは openliberty.ioに新しいガイドを追加し、採用をできるだけ簡単にできるようにしています。既存のガイドも更新され、報告されたバグや問題に対処し、コンテンツを最新の状態に保ち、トピックで取り上げる内容を拡張します。

新しいガイド、統合されたユーザーインターフェースとバックエンドロジックを備えた動的Webアプリケーションの構築がクライアントサイドカテゴリーで公開されています。
非推奨とマークされているガイドを除くすべてのガイドは、MicroProfile 7とバージョンレス機能を使用するように更新されました。
Azure Kubernetesサービスへのマイクロサービスのデプロイガイドは、IBM WebSphere LibertyおよびOpen Liberty on AKSプランを使用してリソースグループを作成するように更新されました。

このリリースのセキュリティ脆弱性（CVE）修正

CVE CVSSスコア脆弱性評価影響を受けるバージョン Notes

CVE	CVSSスコア	脆弱性評価	影響を受けるバージョン	Notes
CVE-2024-47535	5.5	Denial of service	21.0.0.2 - 25.0.0.1	Affects the `grpc-1.0` and `grpcClient-1.0` features

CVE-2024-47535

5.5

Denial of service

21.0.0.2 - 25.0.0.1

Affects the grpc-1.0 and grpcClient-1.0 features

過去のセキュリティ脆弱性修正の一覧については、セキュリティ脆弱性 (CVE) リストを参照してください。

今すぐOpen Liberty 25.0.0.2を入手

Maven、Gradle、Docker、およびダウンロード可能なアーカイブとして入手できます。

すべてのブログ投稿を表示