Программа: OpenSSL версии до 0.9.7h и 0.9.8a

Обнаруженная уязвимость позволяет
удаленному пользователю произвести
man-in-the-middle атаку или заставить программное
обеспечение использовать более слабый
протокол шифрования. Уязвимость существует
из-за ошибки в опции SSL_OP_MSIE_SSLV2_RSA_PADDING (часть
SSL_OP_ALL), которая некорректно запрещает
использование SSL 2.0 сессий, если клиент
поддерживает SSL 3.0 или TLS 1.0. Уязвимость
позволяет злоумышленнику произвести атаку
человек по средине и заставить сервер
использовать версию протокола SSL 2.0 вместо
SSL 3.0 или TLS 1.0.



Оставить мнение