back to all blogsすべてのブログ投稿を表示

ECDH-ES サポートを 25.0.0.9 の JWT Builder に追加

image of author image of author
Ismath Badsha and 佐野 剛(翻訳) 2025年9月 9日
発表 , リリース , セキュリティ ,
他言語版へのリンク: English ,

本リリースでは、JWT Builderに鍵管理アルゴリズムとしてECDH-ESのサポートが導入され、RSA-OAEPに代わるより安全な選択肢を提供します。

In Open Liberty 25.0.0.9:

修正されたバグの一覧は、25.0.0.9のリリースノートで確認できます。

その他の情報は、過去のOpen Liberty GAリリースブログ記事をチェックしてください。

25.0.0.9 を使いアプリを開発・実行するには

Maven を使っている場合は、pom.xml に以下を含めてください:

<plugin>
    <groupId>io.openliberty.tools</groupId>
    <artifactId>liberty-maven-plugin</artifactId>
    <version>3.11.5</version>
</plugin>

Gradle を使っている場合は、build.gradleに以下のように含めてください:

buildscript {
    repositories {
        mavenCentral()
    }
    dependencies {
        classpath 'io.openliberty.tools:liberty-gradle-plugin:3.9.5'
    }
}
apply plugin: 'liberty'
さらに、link:{url-prefix}/docs/latest/container-images.html[コンテナイメージ]を使う場合はこちら:
FROM icr.io/appcafe/open-liberty

あるいは、ダウンロードページをご覧ください。

IntelliJ IDEAVisual Studio CodeEclipse IDEに対しても、に対しても、Open Liberty の開発者ツールを使って IDE内からの開発・テスト・デバッグ・アプリ管理が可能です。

Stack Overflowで質問する

JWT Builder に ECDH-ES サポートを追加する

Open Liberty は JSON Web Token 1.0 (jwt-1.0) 機能を拡張し、jwtBuilder の鍵管理アルゴリズムとして ECDH-ES をサポートするようになりました。これにより、アプリ開発者は JSON Web Encryption (JWE) トークンの Content Encryption Key (CEK) を決定する際に、楕円曲線暗号を使えるようになります。これまでサポートされていた RSA-OAEP に比べ、よりモダンな代替手段を提供します。

ECDH-ES を使うには、keyManagementKeyAlias 属性で楕円曲線 (EC) 公開鍵のエイリアスを定義しておく必要があります。EC 公開鍵/秘密鍵ペアは securityUtility や keytool を使って作成できます。例えば次のコマンド:

./securityUtility createSSLCertificate --sigAlg=SHA256withECDSA --keySize=256 --server=myServer --validity=3650 --password=password
keytool -genkeypair -alias eccert -keyalg EC -groupname secp256r1 -validity 3650 -storetype pkcs12 -keystore myKeystore.p12 -storepass password

jwtBuilder 要素の keyManagementKeyAlgorithm 属性に ECDH-ES を指定して設定できます(この属性は JSON Web Token 1.0 (jwt-1.0) 機能の一部です)。 ECDH-ES 鍵管理アルゴリズムで使われる EC(楕円曲線)公開鍵は、keyManagementKeyAlias 属性でそのエイリアスを参照し、trustStoreRef 属性でキーストアを指定します。

jwtBuilder 要素の設定例(server.xml 内):

<jwtBuilder
    keyManagementKeyAlgorithm="ECDH-ES"
    keyManagementKeyAlias="myECPublicKey"
    trustStoreRef="myTrustStore" ... />

jwtBuilderの設定方法の詳細は、Open Libertyのドキュメントを参照してください。

このリリースでのセキュリティ脆弱性 (CVE) 修正

CVE CVSS スコア 脆弱性内容 影響を受けるバージョン 備考

CVE-2025-36000

4.4

ストアド型クロスサイトスクリプティング (Stored XSS)

17.0.0.3-25.0.0.8

adminCenter-1.0 機能に影響

CVE-2025-36047

5.3

DoS(サービス拒否)

18.0.0.2-25.0.0.8

servlet-3.1, servlet-4.0, servlet-5.0, servlet-6.0 機能に影響

CVE-2025-48976

7.5

DoS(サービス拒否)

17.0.0.3-25.0.0.8

上記と同じ

CVE-2025-36124

5.9

セキュリティのバイパス

17.0.0.3-25.0.0.8

wasJmsServer‐1.0, wasJmsSecurity‐1.0, wasJmsClient‐2.0, messagingServer‐3.0, messagingSecurity‐3.0, messagingClient‐3.0 機能に関連

過去の脆弱性修正の一覧については、Open Liberty の セキュリティ脆弱性(CVE)のリストを参照してください。

Open Liberty 25.0.0.9を今すぐ入手

このバージョンはMaven, Gradle, Docker、またはアーカイブからダウンロード可能です。