اوراکل تصمیم گرفت به توسعه‌دهندگان جاوا فرصت بیشتری بدهد تا مطمئن شوند که پرونده‌های JAR آن‌ها با الگوریتم MD۵ امضاء نشده است. محیط زمان اجرای جاوا (JRE) در اردیبهشت ماه به پشتیبانی از این پرونده‌های JAR خاتمه خواهد داد.

شرکت اوراکل در شهریور ماه اطلاعیه‌ای مبنی بر توقف پشتیبانی از پرونده‌های JAR که با الگوریتم MD۵ امضاء شده‌اند خبر داد. نزدیک به یک دهه است که آسیب‌پذیری‌های تصادم در این الگوریتم‌ها کشف شده است. اوراکل در سال ۲۰۰۶ استفاده از الگوریتم MD۵ برای پرونده‌های JAR به‌طور پیش‌فرض را متوقف کرد و اینک قصد دارد به‌کلی هیچ استفاده‌ای از این الگوریتم درهم‌سازی نداشته باشد.

با انتشار همزمان SE ۸u۱۳۱ به همراه به‌روزرسانی‌های امنیتی اوراکل در اردیبهشت ماه، با پرونده‌های JAR که با الگوریتم MD۵ امضاء شده‌اند، همچون پرونده‌های امضاءنشده و غیرقابل اعتماد برخورد خواهد شد. اوراکل قصد داشت پشتیبانی از MD۵ در پرونده‌های JAR را با آغاز سال ۲۰۱۷ متوقف کند ولی تعدادی از توسعه‌دهندگان جاوا از اوراکل درخواست کردند تا مهلت بیشتری به آن‌ها بدهد تا تغییرات لازم را اعمال کنند.

به توسعه‌دهندگان جاوا توصیه شده تا امضای پرونده‌های JAR را با الگوریتم MD۵ مورد بررسی قرار دهند و این پرونده‌ها را با الگوریتم قوی‌تری مجدداً امضاء کنند و کلیدهای با طول بزرگ‌تر استفاده کنند. با استفاده از ابزار Zip و دستور زیر می‌توانید امضاهای MD۵ موجود را حذف کنید:

zip -d test.jar 'META-INF/*.SF' 'META-INF/*.RSA' 'META-INF/*.DSA'

سایر تغییرات مبتنی بر رمزنگاری که توسط اوراکل در شهریور ماه برای JRE و JDK برنامه‌ریزی شده شامل غیرفعال کردن زنجیره‌ی گواهی‌نامه‌های SHA-۱ است که در JDK به‌طور پیش‌فرض مورد استفاده قرار گرفته و همچنین افزایش حداقل طول کلید برای SSL و TLS به ۱۰۲۴ بیت است. 

اوراکل در آخرین به‌روزرسانی وصله‌های امنیتی خود در سال ۲۰۱۷ تعداد ۲۷۰ آسیب‌پذیری را وصله کرد که ۱۵۸ مورد از این آسیب‌پذیری‌ها توسط مهاجمان بدون احراز هویت قابل بهره‌برداری است. تعداد زیادی از این آسیب‌پذیری‌ها در محصول E-Business Suite اوراکل وجود داشت که توجه محققان امنیتی زیادی را به خود جلب کرده بود.

منبع : asis

گردآوری و انتشار : آنتی ویروس دکتر وب