Java.com

Download Hilfe

Druckversion

Wie können Java-Benutzer herausfinden, ob sie von der Sicherheitslücke "POODLE" (CVE-2014-3566) in SSL 3.0 betroffen sind?


Ab den Critical Patch Update-Releases (JDK 8u31, JDK 7u75, JDK 6u91 und höher) vom 20. Januar 2015 ist SSLv3 in der Java Runtime Environment standardmäßig deaktiviert. Wenn Sie bestätigt haben, dass Sie diese oder spätere Releases ausführen, sollten keine weiteren Aktionen erforderlich sein.

Für vorherige Releases hat Oracle die folgenden Hintergrundinformationen und Anweisungen zum Deaktivieren von SSLv3 für Applets und Web Start sowie ausführliche Anweisungen für Entwickler und Systemadministratoren im OTN darüber bereitgestellt, wie vermieden wird, dass Java-Anwendungen SSL 3.0 in Java SE verwenden, wann immer Java zum Einsatz kommt.


Hintergrund

Die Sicherheitslücke POODLE (CVE-2014-3566) hat eine schwerwiegende Schwachstelle im Secure Socket Layer (SSL) v3-Protokoll aufgezeigt. Das SSLv3-Protokoll wird nicht mehr empfohlen und wurde wie oben erwähnt zur Verwendung in der Java Runtime Environment deaktiviert. Benutzer, die SSLv3 unbedingt aktivieren müssen, sollten die entsprechenden Versionshinweise lesen.

Die meisten Benutzer verwenden Java jedoch ausschließlich im Browser (Applets und WebStart). Im Folgenden sind einfachere Anweisungen zum Prüfen, ob SSL 3.0 aktiviert ist (und wie es deaktiviert wird), aufgeführt.

SSL 3.0 für Applets und WebStart deaktivieren

Die Oracle Java-Implementierungen von Plug-in und WebStart können über das Java Control Panel konfiguriert werden.

Deaktivieren Sie in der Registerkarte Erweitert im Abschnitt Erweiterte Sicherheitseinstellungen die Kontrollkästchen für alle SSL-Protokolle/Formate, sodass nur TLS aktiviert ist (wie unten gezeigt). Ab dem Release vom 20. Januar 2015 wird SSLv3 nicht mehr als auswählbare Option angezeigt.

Hinweis: Bei geöffnetem Browser über das Control Panel vorgenommene Änderungen werden erst nach einem Neustart des Browsers wirksam. Java WebStart-Anwendungen müssen ebenfalls neu gestartet werden, damit die Änderungen wirksam werden.

Java Control Panel - Versionen vor 8u31, 7u75 und 6u91
Option für SSL 3.0 im Java Control Panel deaktivieren


ZUGEHÖRIGE INFORMATIONEN

Weitere Informationen über das Critical Patch Update-Release vom Januar 2015 finden Sie in den entsprechenden Versionshinweisen.


Folgende Themen könnten ebenfalls interessant für Sie sein:




Sprachauswahl | Info zu Java | Support | Entwickler
Datenschutz  | Nutzungsbedingungen | Marken | Haftungsausschluss

Oracle