問題
-
双方向 SSL ハンドシェイク中に、次の例外が発生します。
-
javax.net.ssl|WARNING|DC|tomcat-http--46| EDT|SSLSocketImpl.java:1428|handling exception (
"throwable" : {
java.lang.NullPointerException
at org.bouncycastle.crypto.signers.PSSSigner.generateSignature(Unknown Source)
at org.bouncycastle.jce.provider.JDKPSSSigner.engineSign(Unknown Source)
at java.security.Signature$Delegate.engineSign(Signature.java:1382)
at java.security.Signature.sign(Signature.java:698)
at sun.security.ssl.CertificateVerify$T12CertificateVerifyMessage.<init>(CertificateVerify.java:608)
at sun.security.ssl.CertificateVerify$T12CertificateVerifyProducer.produce(CertificateVerify.java:760)
-
Environment
- Liferay DXP 7.0
- Liferay DXP 7.1
- Liferay DXP 7.2
解決策
- 複数のバンドルが既知の脆弱性を持つ Bouncy Castle Provider 1.45 に依存しているため、記載されている例外は Liferay DXP 7.2、DXP 7.1、および DXP 7.0 の既知の例外です。
- Bouncy Castle Provider 1.45 には、次の既知の脆弱性があります。
https://nvd.nist.gov/vuln/detail/CVE-2013-1624
https://nvd.nist.gov/vuln/detail/CVE- 2017-13098
https://nvd.nist.gov/vuln/detail/CVE-2018-5382
https://nvd.nist.gov/vuln/detail/CVE-2018-1000613
お願いしますBouncy Castle Provider をバージョン 1.60 以降にアップグレードします
- Bouncy Castle Provider 1.45 には、次の既知の脆弱性があります。
-
ただし、
の Liferay
は同じように修正されています
7210
追加情報
- LPS-104661
- この問題に修正プログラムが必要な場合は、パッチの詳細を添付して、修正プログラムを要求するサポート チケットを作成してください。
- Liferay DXP にフィックスパックとホットフィックスをインストールする は、環境にフィックスパック/ホットフィックスをインストールする方法を案内します。
- 通常、双方向 SSL ハンドシェイクは 2 つのサーバー間で発生します。 これは、サーバー間の種類の通信で使用される SSL ハンドシェイクのタイプです。 すべてのサーバーは、他のサーバーの ID を検証する必要があります。