Как пользователи Java могут убедиться, что они не подвержены уязвимости POODLE SSL V3.0?

Как пользователи Java могут убедиться, что они не подвержены уязвимости POODLE SSL V3.0 (CVE-2014-3566)?

Начиная с 20 января 2015 г. в выпусках обновлений критических исправлений (JDK 8u31, JDK 7u75, JDK 6u91 и более поздних версий) протокол SSLv3 для среды Java Runtime Environment отключен по умолчанию. Если вы убедились, что выполняется один из этих или более поздних выпусков дополнительные действия не требуются.

Если выполняется один из предыдущих выпусков, используйте нижеследующие общие сведения и указания, связанные с отключением SSLv3 для апплетов и Web Start. Кроме того, можно воспользоваться подробными указаниями для разработчиков и системных администраторов на OTN. В них приводятся сведения о том, как отключить возможность использования приложениями Java протокола SSL v3.0 в Java SE во всех случаях использования Java.

Общие сведения

Уязвимость POODLE (CVE-2014-3566) привела к появлению критической бреши в протоколе Secure Socket Layer (SSL) v3. Использовать протокол SSLv3 больше не рекомендуется. Он был отключен в Java Runtime Environment, как указано выше. Если пользователю критически важно использовать SSLv3, рекомендуем обратиться к заметкам о выпуске.

Тем не менее, большинство пользователей используют Java только в браузере (апплеты и WebStart). Ниже приведены простые инструкции, которые позволят проверить, включен ли протокол SSL 3.0 (и при необходимости отключить его).

Отключение SSLv3 для апплетов и WebStart

Реализации подключаемого модуля и WebStart Oracle Java можно настроить на панели управления Java Control Panel.

На вкладке Advanced (Дополнительно) в разделе Advanced Security Settings (Дополнительные параметры безопасности) отмените выбор всех протоколов/формата SSL, кроме параметра TLS, как показано ниже (начиная с выпуска за 20 января 2015 г. протокол SSLv3 недоступен для выбора).

Примечание. Если браузер открыт, измененные настройки на панели управления вступят в силу только после перезапуска браузера. Чтобы изменения вступили в силу, также требуется перезапустить приложения Java WebStart.

Java Control Panel - версии до 8u31, 7u75 и 6u91
Отмена выбора параметра SSLv3 на панели управления Java Control Panel

СВЯЗАННАЯ ИНФОРМАЦИЯ

Дополнительную информацию о выпуске обновлений критических исправлений в январе 2015 г. см. в соответствующих заметках о выпуске.

Java 8 (обновление 31) (Заметки о выпуске OTN)
Java 7 (обновление 75) (Заметки о выпуске OTN)
Java 6 (обновление 91) (Заметки о выпуске OTN)