Уязвимость в OpenSSL

Обнаружена уязвимость во всех версиях OpenSSL (не включая 0.9.7h и 0.9.8a), сообщает linux.org.ru. Версии 0.9.7h и 0.9.8a выпущены, чтобы исправить эту уязвимость. Потенциально могут быть затронуты все приложения которые используют реализации SSL/TLS предоставляемые с помощью библиотеки OpenSSL.
Приложения подвержены уязвимости, если они используют опцию SSL_OP_MSIE_SSLV2_RSA_PADDING. Эта опция запрещает шаг верификации в SSL 2.0 сервере. Атакующий, используя атаку типа «man in the middle», может принудить клиента и сервер к согласованию на протоколе SSL 2.0, даже если стороны поддерживают SSL 3.0 или TLS 1.0. Между тем протокол SSL 2.0 известен как слабозащищенный и поддерживаетcz только как запасной.
Приложения не использующие ни SSL_OP_MSIE_SSLV2_RSA_PADDING, ни SSL_OP_ALL не подвержены уязвимости. Приложения которые запрещают использование SSL 2.0 также не подвержены.
Подробнее

Источник: UinC.ru