Confirmation pour les utilisateurs Java de l'absence d'affectation par la vulnérabilité SSL V3.0 POODLE

Confirmation pour les utilisateurs Java de l'absence d'affectation par la vulnérabilité SSL V3.0 POODLE (CVE-2014-3566)

A partir des versions des mises à jour des patches critiques (JDK 8u31, JDK 7u75, JDK 6u91 et supérieures) du 20 janvier 2015, SSLv3 est désactivé par défaut dans l'environnement JRE. Si vous avez vérifié que vous exécutez ces versions ou une version supérieure aucune autre action n'est nécessaire.

Pour les versions précédentes, Oracle a fourni les informations et les instructions ci-dessous pour la désactivation de SSLv3 pour les applets et Web Start, ainsi que des instructions détaillées pour les développeurs et les administrateurs système sur OTN afin d'empêcher les applications Java d'utiliser SSL v3.0 dans Java SE dans toutes les situations d'utilisation de Java.

Informations

La vulnérabilité POODLE (CVE-2014-3566) a exposé une faille grave du protocole SSL (Secure Socket Layer) v3. Le protocole SSLv3 n'est plus recommandé et son utilisation a été désactivée dans l'environnement JRE, comme indiqué ci-dessus. Les utilisateurs devant absolument réactiver SSLv3 doivent consulter les notes sur la version correspondantes.

Toutefois, la plupart des utilisateurs emploient Java uniquement dans le navigateur (applets et WebStart). Vous trouverez ci-dessous des instructions plus simples expliquant comment vérifier si SSL 3.0 est activé (et comment le désactiver).

Désactiver SSLv3 pour les applets et WebStart

Les implémentations Oracle Java du plug-in et de WebStart peuvent être configurées à l'aide du panneau de configuration Java.

Sous l'onglet Avancé dans la section Paramètres de sécurité avancés désélectionnez tous les protocoles/formats SSL afin que seul TLS soit activé, comme indiqué ci-dessous (à compter de la version du 20 janvier 2015, SSLv3 n'apparaît plus comme une option sélectionnable).

Remarque : les modifications apportées via le panneau de configuration alors qu'un navigateur est ouvert prennent effet uniquement après le redémarrage du navigateur. Pour que les modifications soient prises en compte, vous devez également redémarrer les applications Java WebStart.

Panneau de configuration Java - Versions antérieures à 8u31, 7u75 et 6u91
Option de désélection de SSLv3 dans le panneau de configuration Java

INFORMATIONS ASSOCIÉES

Pour plus d'informations sur les versions des mises à jour des patches critiques de janvier 2015, reportez-vous aux notes sur la version appropriées.

Java 8 Update 31 (notes sur la version sur OTN)
Java 7 Update 75 (notes sur la version sur OTN)
Java 6 Update 91 (notes sur la version sur OTN)