image

Lekje in OpenSSL laat webservers SSL 2.0 gebruiken

woensdag 12 oktober 2005, 11:18 door Redactie, 1 reacties

OpenSSL heeft een update beschikbaar gesteld voor een lek waardoor het makkelijker is voor een aanvaller om beveiligde webservers aan te vallen. Door het security lek kon een aanvaller een website met SSL verplichten om de "potentieel onveilige" versie 2.0 van het protocol te gebruiken.

Sommige beveiligde websites laten toe dat bezoekers via oudere versie van SSL verbinding maken, een optie die via OpenSSL's SSL_OP_ALL ingesteld kan worden. Normaal kiezen webserver altijd versie 3.0 van het protocol, maar door een lek in de implemenatie van OpenSSL's SSL_OP_ALL kan een aanvaller de webserver versie 2.0 laten gebruiken.

Het lek is aanwezig in de 0.9.6, 0.9.7 en 0.9.8 branches van OpenSSL. Voor alle versies zijn patches uitgebracht.

Eerder werd al bekend dat de Mozilla Firefox, wegens verschillende lekken in deze versie van het protocol, gaat stoppen met de ondersteuning van SSL 2.0.

Reacties (1)
12-10-2005, 23:18 door Virtal
Apache:
SSLProtocol -all +SSLv3 +TLSv1
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.