Обход ограничений безопасности в опции SSL_OP_MSIE_SSLV2_RSA_PADDING в OpenSSL

Дата публикации:12.10.2005
Дата изменения:15.08.2008
Всего просмотров:2843
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: OpenSSL 0.9.x
Уязвимые версии: OpenSSL версии до 0.9.7h и 0.9.8a

Описание:
Обнаруженная уязвимость позволяет удаленному пользователю произвести man-in-the-middle атаку или заставить программное обеспечение использовать более слабый протокол шифрования.

Уязвимость существует из-за ошибки в опции SSL_OP_MSIE_SSLV2_RSA_PADDING (часть SSL_OP_ALL), которая некорректно запрещает использование SSL 2.0 сессий, если клиент поддерживает SSL 3.0 или TLS 1.0. Уязвимость позволяет злоумышленнику произвести атаку человек по средине и заставить сервер использовать версию протокола SSL 2.0 вместо SSL 3.0 или TLS 1.0.

URL производителей: www.openssl.org

Решение: Установите последнюю версию (0.9.7h и 0.9.8a) с сайта производителя.

Ссылки: Potential SSL 2.0 Rollback (CAN-2005-2969)