SSLv2, habilitado en un servidor SSL, es una vulnerabilidad potencial solo si se cumplen todas las siguientes condiciones:
- Hay algún cliente que desea conectarse a ese servidor e intercambiar datos confidenciales a través de ese túnel SSL.
- El cliente acepta utilizar SSLv2 también.
- El cliente y el servidor no implementan el sistema de detección de retroceso de versión descrito en RFC 2246, sección E. 2 .
Bajo todas estas suposiciones, entonces un atacante puede forzar al servidor y al cliente a usar SSLv2 aunque ambos admitan SSLv3 o más. Esto, a su vez, puede implicar alguna debilidad según el protocolo subyacente (el mayor problema con SSLv2 es la falta de terminación verificada, por lo que los atacantes pueden forzar el truncamiento silencioso, lo cual es un problema si el protocolo subyacente no es auto-activado. terminado).
Dado lo que dice, es altamente improbable que estos "soporte SSLv2" sean un problema en su caso.
Sin embargo , una pregunta más interesante es: ¿qué son estos servidores de todos modos? ¿Por qué una máquina operaría un servicio de red, lista para hacer SSL, si no hay un cliente destinado? ¿Por qué no apagar estos servicios no utilizados? El problema no es una cuestión de SSLv2 vs SSLv3, sino más bien una cuestión de tener servicios con capacidad de red abiertos sin ninguna razón.