Java.com

Download Guida in linea

Versione stampabile

In che modo gli utenti Java possono verificare di non essere interessati dalla vulnerabilità POODLE (CVE-2014-3566) di SSL V3.0?


A partire dalle release dell'aggiornamento di patch critiche del 20 gennaio 2015 (JDK 8u31, JDK 7u75, JDK 6u91 e superiori), per impostazione predefinita SSLv3 è disabilitato in Java Runtime Environment. Se avete verificato che state utilizzando queste release o release successive, non è necessario eseguire ulteriori azioni.

Per le release precedenti, Oracle ha fornito le informazioni generali e le istruzioni riportate di seguito per disabilitare SSLv3 per le applet e Web Start, nonché istruzioni dettagliate per gli sviluppatori e gli amministratori del sistema su OTN su come impedire alle applicazioni Java di utilizzare SSL v3.0 in Java SE in tutti i casi in cui viene utilizzato Java.


Informazioni generali

La vulnerabilità POODLE (CVE-2014-3566) ha causato un problema grave nel protocollo SSL (Secure Socket Layer) v3. Il protocollo SSLv3 non è più consigliato ed è stato disabilitato per l'uso in Java Runtime Environment come descritto di seguito. Gli utenti che devono assolutamente riabilitare SSLv3, devono consultare le Note di rilascio appropriate.

Tuttavia, la maggior parte degli utenti utilizza Java solo nel browser (applet e Web Start). Di seguito sono riportate le istruzioni più semplici su come verificare se SSL 3.0 è abilitato e su come disabilitarlo.

Disabilitare SSLv3 per applet e Web Start

Le implementazioni di Oracle Java di plugin and Web Start possono essere configurate utilizzando il pannello di controllo Java.

Nella sezione Impostazioni avanzate di sicurezza della scheda Avanzate, deselezionate tutti i protocolli/formati SSL e lasciate abilitato solo TLS, come indicato di seguito. A partire dalla release del 20 gennaio 2015, il protocollo SSLv3 non verrà più visualizzato come opzione selezionabile.

Nota: le modifiche apportate mediante il pannello di controllo quando un browser è aperto diventeranno effettive solo dopo il riavvio del browser. Per rendere effettive le modifiche, è inoltre necessario riavviare le applicazioni Java Web Start.

Pannello di controllo Java - Versioni precedenti alla 8u31, 7u75 e 6u91
Opzione di deselezione SSLv3 del pannello di controllo Java


INFORMAZIONI CORRELATE

È possibile trovare ulteriori informazioni sulle release dell'aggiornamento di patch critiche di gennaio 2015 nelle note di rilascio appropriate.


Si potrebbe essere interessati anche a:




Scegli una lingua | Informazioni su Java | Supporto | Sviluppatori
Privacy  | Termini e condizioni per l'utilizzo | Marchi | Dichiarazione di non responsabilità

Oracle