Обход ограничений безопасности в опции SSL_OP_MSIE_SSLV2_RSA_PADDING в OpenSSL

Дата публикации:
12.10.2005
Дата изменения:
15.08.2008
Всего просмотров:
2720
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
OpenSSL 0.9.x
Уязвимые версии: OpenSSL версии до 0.9.7h и 0.9.8a

Описание:
Обнаруженная уязвимость позволяет удаленному пользователю произвести man-in-the-middle атаку или заставить программное обеспечение использовать более слабый протокол шифрования.

Уязвимость существует из-за ошибки в опции SSL_OP_MSIE_SSLV2_RSA_PADDING (часть SSL_OP_ALL), которая некорректно запрещает использование SSL 2.0 сессий, если клиент поддерживает SSL 3.0 или TLS 1.0. Уязвимость позволяет злоумышленнику произвести атаку человек по средине и заставить сервер использовать версию протокола SSL 2.0 вместо SSL 3.0 или TLS 1.0.

URL производителей: www.openssl.org

Решение: Установите последнюю версию (0.9.7h и 0.9.8a) с сайта производителя.

Ссылки: Potential SSL 2.0 Rollback (CAN-2005-2969)

или введите имя

CAPTCHA