Om Java-gebruikers tegen aanvallen te beschermen heeft Oracle SSL 3.0 in de software uitgeschakeld. De maatregel is onderdeel van de beveiligingsupdate die dinsdag verscheen. "Deze Critical Patch Update schakelt het standaard gebruik van SSL 3.0 uit. SSL 3.0 word als een verouderd protocol beschouwd en deze situatie wordt verergerd door het POODLE-lek. Als gevolg wordt dit protocol op grote schaal door kwaadaardige hackers aangevallen", zegt Eric Maurice van Oracle.
De POODLE-kwetsbaarheid in SSL 3.0 zorgt ervoor dat een aanvaller die zich tussen een gebruiker en het internet weet te plaatsen, bijvoorbeeld bij een open wifi-netwerk, informatie uit versleutelde verbindingen kan stelen, zoals sessiecookies. Maurice geeft organisaties het advies om te stoppen met het gebruik van alle SSL-versies, aangezien die niet meer voor de veilige communicatie tussen systemen zijn te vertrouwen.
Ook moeten Oracle-klanten hun code aanpassen en overstappen naar een veiliger protocol, zoals TLS 1.2. De Oracle-medewerker merkt verder op dat Oracle in de toekomst SSL in alle Oracle-software zal uitschakelen. Naast het uitschakelen van SSL 3.0 verhelpt de update ook 19 lekken in Java, die in het ergste geval een aanvaller volledige controle over het systeem kunnen geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.