Java.com

Ladda ned Hjälp

Utskrivbar version

Hur kan Java-användare bekräfta att de inte är påverkade av säkerhetsrisken POODLE (CVE-2014-3566) i SSL version 3.0?


Från och med den 20 januari 2015 har Java Runtime Environment avaktiverat SSLv3 som standard i Critical Patch Update-utgåvorna (JDK 8u31, JDK 7u75, JDK 6u91 och senare). Om du har verifierat att du kör någon av de utgåvorna eller senare behöver du inte utföra någon ytterligare åtgärd.

I tidigare utgåvor har Oracle tillhandahållit bakgrunden och instruktionerna nedan för hur du avaktiverar SSLv3 för appletar och Web Start, samt detaljerade instruktioner för utvecklare och systemadministratörar för OTN för hur de förhindrar Java-applikationer från att använda SSL version 3.0 i Java SE i alla situationer där Java används.


Bakgrund

Säkerhetsrisken POODLE (CVE-2014-3566) avslöjade en allvarlig brist i version 3 av protokollet SSL (Secure Sockets Layer). Protokollet SSLv3 rekommenderas inte längre och har avaktiverats för användning i Java Runtime Environment enligt ovan. Om du måste återaktivera SSLv3 läser du i lämpliga versionskommentarer.

De flesta användare använder dock endast Java i webbläsaren (appletar och WebStart). Nedan finns det enklare instruktioner för hur du kontrollerar om SSL 3.0 är aktiverat (och hur du avaktiverar det).

Avaktivera SSL version 3 för appletar och WebStart

Oracle Java-implementationerna för insticksprogram och WebStart kan konfigureras med kontrollpanelen för Java.

Klicka på fliken Avancerat. I sektionen Avancerade säkerhetsinställningar avmarkerar du alla SSL-protokoll/-format så att endast TLS är aktiverat enligt nedan (från och med utgåvan från den 20 januari 2015 visas inte längre SSLv3 som ett valbart alternativ).

Obs! Om du utför ändringar i kontrollpanelen när det finns en öppen webbläsare börjar inte de ändringarna gälla förrän du har startat om webbläsaren. Du måste även starta om Java WebStart-applikationer för att ändringarna ska börja gälla.

Kontrollpanelen för Java - tidigare utgåvor än 8u31, 7u75 och 6u91
Kontrollpanelen för Java med alternativet för SSL version 3 avmarkerat


RELATERAD INFORMATION

Mer information om Critical Patch Update-utgåvan från januari 2015 finns i versionskommentarerna.


Du kanske även är intresserad av:




Välj språk | Om Java | Supportalternativ | Utvecklare
Sekretess  | Användningsvillkor | Varumärken | Friskrivning

Oracle