Zaczynając od 20 stycznia 2015 roku, w wydaniach Critical Patch Update (JDK 8u31, JDK 7u75, JDK 6u91 i wersje nowsze) środowisko Java Runtime Environment ma domyślnie wyłączany protokół SSLv3. Jeśli zostało sprawdzone, że jest używane jedno z tych wydań lub nowsze nie trzeba wykonywać żadnych dodatkowych czynności.

W odniesieniu do poprzednich wydań firma Oracle udostępniła (podane poniżej) opis problemu i instrukcje wyłączania protokołu SSLv3 dla apletów i aplikacji Web Start, a także zamieściła w serwisie OTN przeznaczone dla programistów i administratorów instrukcje zapobiegania użyciu protokołu SSL v3.0 w aplikacjach Java w środowisku Java SE we wszystkich sytuacjach, w których technologia Java jest używana.

Opis problemu

Luka POODLE (CVE-2014-3566) stanowi poważną wadę protokołu SSL v3 (Secure Socket Layer). Używanie protokołu SSLv3 nie jest już zalecane — jak podano wcześniej, został wyłączony w środowisku Java Runtime Environment. Użytkownicy, którzy koniecznie muszą ponownie włączyć protokół SSLv3, znajdą odpowiednie informacje w uwagach do wydania.

Większość użytkowników korzysta głównie z technologii Java w przeglądarkach (aplety i aplikacje WebStart). Poniżej są podane prostsze instrukcje, jak sprawdzić, czy protokół SSL 3.0 jest włączony (oraz jak go wyłączyć).

Wyłączanie protokołu SSLv3 dla apletów i aplikacji WebStart

Implementacje oprogramowania Oracle Java wtyczek Java i aplikacji WebStart można skonfigurować za pomocą panelu Java Control Panel.

Na karcie Advanced (Zaawansowane), w sekcji Advanced Security Settings (Zaawansowane ustawienia zabezpieczeń), wyłączyć wszystkie protokoły/formaty SSL, pozostawiając jedynie włączony protokół TLS, jak pokazano poniżej (zaczynając od wydania z 20 stycznia 2015 roku, SSLv3 przestaje być pokazywany jako opcja możliwa do wybrania).

Uwaga: Zmiany dokonywane poprzez panel Java Control Panel, gdy jest otwarta przeglądarka, zostaną uwzględnione dopiero wtedy, gdy przeglądarka zostanie zamknięta i ponownie uruchomiona. Aby zmiany te zostały uwzględnione, trzeba także zamknąć i ponownie uruchomić aplikacje Java WebStart.

Java Control Panel — wersje wcześniejsze niż 8u31, 7u75 i 6u91

Więcej informacji o wydaniu Critical Patch Update ze stycznia 2015 roku można znaleźć w odpowiednich uwagach do wydania.

• Java 8 Update 31 (uwagi do wydania z OTN)
• Java 7 Update 75 (uwagi do wydania z OTN)
• Java 6 Update 91 (uwagi do wydania z OTN)