ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:21.openssl.asc
opensslの脆弱性が発表されました。SSL_OP_MSIE_SSLV2_RSA_PADDINGオプションが指定されている場合、SSL 3.0が利用できる状況においても、強制的にSSL 2.0にロールバックできてしまうということです。この問題のオプションはSSL_OP_ALLオプションの中に含まれているそうです。
追記:昨日焦って書いたのでタイトル付け忘れてました…。それはそうと、今回問題となっているSSL_OP_MSIE_SSLV2_RSA_PADDINGオプションはもともとIE 3.0.2のバグ対策のものだったそうなので、無効にしてしまっても問題はないでしょう。FreeBSDでも修正パッチが公開sれていますが、適用するとこのオプションが無効になります。あるいは、この際SSL 2.0そのものを無効にしてしまってもいいかもしれません。SSL 2.0は構造上の問題を抱えているので、Firefox等いくつかのアプリケーションではSSL 2.0のサポートの廃止を決定しています。
さらに追記:この問題を発見した大岩氏のblogに簡単な解説が載せられています。
http://www.oiwa.jp/~yutaka/tdiary/20051013.html