|
信息提供: |
安全公告(或线索)提供热线:51cto.editor@gmail.com |
|
漏洞类别: |
有效性检查错误 |
|
攻击类型: |
远程攻击 |
|
发布日期: |
2005-10-12 |
|
更新日期: |
2005-10-12 |
|
受影响系统: |
Sun Solaris 10 |
|
安全系统: |
无 |
|
漏洞报告人: |
Sun |
|
漏洞描述: |
Secunia Advisory: SA17169 Sun Microsystems 承认 Solaris中存在一个漏洞,可被恶意攻击者用来绕过某些安全限制。 在决定SSL_OP_MSIE_SSLV2_RSA_PADDING 选项是否应用时,发生错误导致该漏洞。该选项的应用启动了一个防止协议版本回退的验证过程。该漏洞可导致中间人攻击,迫使客户机和服务器双方使用不太安全的SSL 2.0 协议,实际上,双方都愿意使用更加安全的SSL 3.0 或 TLS 1.0协议。 当使用了SSL_OP_ALL 选项时,该选项也被激活。 该漏洞已在0.9.7h 和 0.9.8a及以前的所有版本中报道。 |
|
测试方法: |
无 |
|
解决方法: |
厂商建议在SSL-激活的Apache 和 Apache2 系统上,将 SSLv2 设置为非激活状态。 |
相关文章
