Java.com

Descargar Ayuda

Versión para imprimir

¿Cómo pueden los usuarios de Java confirmar que no están afectados por la vulnerabilidad POODLE de SSL V3.0 (CVE-2014-3566)?


A partir de las versiones de la actualización de parche crítico del 20 de enero de 2015, (JDK 8u31, JDK 7u75, JDK 6u91 y versiones posteriores) Java Runtime Environment lleva SSLv3 desactivado por defecto. Si ha comprobado que está ejecutando estas versiones o alguna posterior, no será necesario realizar ninguna acción.

Para versiones anteriores, Oracle proporciona la información y las instrucciones que aparecen a continuación para desactivar SSLv3 en applets y WebStart, así como instrucciones detalladas para desarrolladores y administradores del sistema, disponibles en OTN, sobre cómo evitar que las aplicaciones Java utilicen SSL v3.0 en Java SE cada vez que se utilice Java.


Información ampliada

La vulnerabilidad POODLE (CVE-2014-3566) es un punto flaco de seguridad en el protocolo Secure Socket Layer (SSL) v3. El protocolo SSLv3 ya no está recomendado y se ha desactivado para su uso en Java Runtime Environment, como se ha descrito anteriormente. Los usuarios que necesiten volver a activar SSLv3 deben consultar las notas técnicas de la versión indicadas a tal efecto.

No obstante, la mayoría de los usuarios solo utiliza Java en el explorador (Applets y WebStart). A continuación se detalla de forma esquemática cómo comprobar si SSL 3.0 está o no activado (y cómo desactivarlo).

Desactivar SSLv3 para Applets y WebStart

Las implementaciones de Oracle Java del plugin y WebStart se pueden configurar mediante el panel de control de Java.

En el separador Avanzado , sección Configuración de seguridad avanzada, anule la selección de todos los protocolos/formatos SSL, dejando solo activado TLS tal y como se muestra a continuación (a partir de la versión del 20 de enero de 2015, SSLv3 ya no aparece como una opción seleccionable).

Nota: los cambios realizados mediante el panel de control con el explorador abierto solo se aplicarán después de reiniciar el explorador. Las aplicaciones de Java WebStart también se deben reiniciar para que los cambios surtan efecto.

Panel de control de Java - Versiones anteriores a la 8u31, 7u75 y 6u91
Panel de control de Java: Anulación de la selección de la opción SSLv3


INFORMACIÓN RELACIONADA

Acceda a más información sobre la actualización de parche crítico de enero de 2015 en las notas técnicas de la versión correspondientes.


Puede que también le interese:




Seleccionar idioma | Acerca de Java | Soporte | Desarrolladores
Privacidad  | Condiciones de uso | Marcas registradas | Descargo de responsabilidad

Oracle