A partir de las versiones de la actualización de parche crítico del 20 de enero de 2015, (JDK 8u31, JDK 7u75, JDK 6u91 y versiones posteriores) Java Runtime Environment lleva SSLv3 desactivado por defecto. Si ha comprobado que está ejecutando estas versiones o alguna posterior no será necesario realizar ninguna acción.

Para versiones anteriores, Oracle proporciona la información y las instrucciones que aparecen a continuación para desactivar SSLv3 en applets y WebStart, así como instrucciones detalladas para desarrolladores y administradores del sistema, disponibles en OTN, sobre cómo evitar que las aplicaciones Java utilicen SSL v3.0 en Java SE cada vez que se utilice Java.

Información ampliada

La vulnerabilidad POODLE (CVE-2014-3566) es un punto flaco de seguridad en el protocolo Secure Socket Layer (SSL) v3. El protocolo SSLv3 ya no está recomendado y se ha desactivado para su uso en Java Runtime Environment, como se ha descrito anteriormente. Los usuarios que necesiten volver a activar SSLv3 deben consultar las notas técnicas de la versión indicadas a tal efecto.

No obstante, la mayoría de los usuarios solo utiliza Java en el explorador (Applets y WebStart). A continuación se detalla de forma esquemática cómo comprobar si SSL 3.0 está o no activado (y cómo desactivarlo).

Desactivar SSLv3 para Applets y WebStart

Las implementaciones de Oracle Java del plugin y WebStart se pueden configurar mediante el panel de control de Java.

En el separador Avanzado sección Configuración de seguridad avanzada anule la selección de todos los protocolos/formatos SSL, dejando solo activado TLS tal y como se muestra a continuación (a partir de la versión del 20 de enero de 2015, SSLv3 ya no aparece como una opción seleccionable).

Nota: los cambios realizados mediante el panel de control con el explorador abierto solo se aplicarán después de reiniciar el explorador. Las aplicaciones de Java WebStart también se deben reiniciar para que los cambios surtan efecto.

Panel de control de Java - Versiones anteriores a la 8u31, 7u75 y 6u91

Acceda a más información sobre la actualización de parche crítico de enero de 2015 en las notas técnicas de la versión correspondientes.

• Java 8 Update 31 (Notas técnicas sobre la versión en OTN)
• Java 7 Update 75 (Notas técnicas sobre la versión en OTN)
• Java 6 Update 91 (Notas técnicas sobre la versión en OTN)