4日から5日にかけて、TLS/SSLに介入者攻撃を可能にする脆弱性があるというニュースが伝えられた。この脆弱性を利用されると介入者がプロトコルストリームのはじまりの段階で任意の量のプレインテキストを挿入することが可能になる。最近のバージョンのMicrosoft IISとApache HTTPサーバで実際に動作していることが確認されたと報告されている。現在ではCVE-2009-3555として問題を特定可能。この脆弱性に対応したOpenSSLがさっそくOpenSSL 0.9.8lとして公開された。
報告された脆弱性は実装上の欠陥というよりも、プロトコルの設計上の問題であるため、実装でこれを回避することは難しい。OpenSSL 0.9.8lでは問題が発生するリネゴシエーションの処理自体が無効化されている。これは恒久的な対処というよりも、一時的な回避策としての意味合いが強い。
The OpenSSL ProjecthはOpenSSL 0.9.8lが採用するにあたってもっともベストなバージョンであるとして、これよりも古いバージョンを使っているすべてのユーザへOpenSSL 0.9.8lへのアップグレードを強く推奨している。