image

Oracle schakelt SSL 3.0 in Java uit

woensdag 21 januari 2015, 10:31 door Redactie, 7 reacties

Om Java-gebruikers tegen aanvallen te beschermen heeft Oracle SSL 3.0 in de software uitgeschakeld. De maatregel is onderdeel van de beveiligingsupdate die dinsdag verscheen. "Deze Critical Patch Update schakelt het standaard gebruik van SSL 3.0 uit. SSL 3.0 word als een verouderd protocol beschouwd en deze situatie wordt verergerd door het POODLE-lek. Als gevolg wordt dit protocol op grote schaal door kwaadaardige hackers aangevallen", zegt Eric Maurice van Oracle.

De POODLE-kwetsbaarheid in SSL 3.0 zorgt ervoor dat een aanvaller die zich tussen een gebruiker en het internet weet te plaatsen, bijvoorbeeld bij een open wifi-netwerk, informatie uit versleutelde verbindingen kan stelen, zoals sessiecookies. Maurice geeft organisaties het advies om te stoppen met het gebruik van alle SSL-versies, aangezien die niet meer voor de veilige communicatie tussen systemen zijn te vertrouwen.

Ook moeten Oracle-klanten hun code aanpassen en overstappen naar een veiliger protocol, zoals TLS 1.2. De Oracle-medewerker merkt verder op dat Oracle in de toekomst SSL in alle Oracle-software zal uitschakelen. Naast het uitschakelen van SSL 3.0 verhelpt de update ook 19 lekken in Java, die in het ergste geval een aanvaller volledige controle over het systeem kunnen geven.

Reacties (7)
21-01-2015, 10:44 door Anoniem
Ik vraag me ag wanneer Oracle Java nu eens een versie oplevert zonder lekken...
21-01-2015, 13:02 door Anoniem
Uitstekend!
En nu is het nog wachten op Google die ook achterloopt op dit gebied. Ik kan er met mijn pet niet bij dat zij ook nog steeds dit protocol uit de middeleeuwen ondersteunen.
Als ik naar Google.nl ga (ik heb als startpagina DuckDuck.go) verbaas ik me elke weer dat volgens de Netcraft Toolbar Google nog steeds het gevarendriehoekje SSL-3 heeft.
21-01-2015, 13:07 door Anoniem
Door Anoniem: Ik vraag me ag wanneer Oracle Java nu eens een versie oplevert zonder lekken...
Dat is een naive opmerking. Software is mensen werk dus er zullen altijd fouten in zitten. Java zit al 552 dagen zonder zero-days (http://java-0day.com/) en deze fouten zijn gewoon pro-actief gevonden door Oracle. Oracle steekt erg veel geld in veiligheid (in tegenstelling tot de vorige eigenaar van Java, Sun).
21-01-2015, 13:56 door Optimus
Door Anoniem: Ik vraag me ag wanneer Oracle Java nu eens een versie oplevert zonder lekken...

Echt? Welkom in de wondere wereld van software. Het is niet alleen Oracle, maar elke software (en hardware) bouwer / engineer heeft bugs, fouten, vergeten escape codes en noem het maar op...

Er zijn legio voorbeelden te vinden hoeveel 'fouten' er in software staan per zoveel regels code.
21-01-2015, 13:57 door Anoniem
Jammer dat het tot Java 8 geduurd heeft totdat Java TLS fatsoenlijk veilig ondersteunt. Initiele support was ook pas met de introductie van Java 7. Zie ook: http://blog.ivanristic.com/2014/03/ssl-tls-improvements-in-java-8.html Zitten stiekem nogal wat haken & ogen en beperkingen aan de 7 implementatie :(

Oracle & security gaan gewoon nog steeds niet samen ...
21-01-2015, 17:01 door Anoniem
Door Anoniem (aka Krokkitak) :
Door Anoniem: Ik vraag me ag wanneer Oracle Java nu eens een versie oplevert zonder lekken...
Dat is een naive opmerking. Software is mensen werk dus er zullen altijd fouten in zitten. Java zit al 552 dagen zonder zero-days (http://java-0day.com/) en deze fouten zijn gewoon pro-actief gevonden door Oracle. Oracle steekt erg veel geld in veiligheid (in tegenstelling tot de vorige eigenaar van Java, Sun).

Minder naïef en verheugender nieuws zou zijn : 'Gebruikers schakelen Java uit'

En als je het toch niet gebruikt, dan is verwijderen is nog beter voor je security.
Tot die tijd is Java alleen maar een blok aan je security & anti toolbar been.
22-01-2015, 12:28 door [Account Verwijderd] - Bijgewerkt: 22-01-2015, 21:17
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.