Jak SSL może być na porcie 110?

14

Poprawiłem serwer Postfix + Dovecot przed atakiem DROWN (wyłączyłem sslv2 i sslv3).

https://test.drownattack.com

Shows :25
vulnerable to CVE-2016-0703
:110
vulnerable to CVE-2016-0703
...

Następnie, jeśli połączy się z linii polecenia OpenSSL „S s_clientpomocą -ssl2przełącznika potem protokół nie jest obsługiwana. Czy mogę potraktować to jako wykrycie przez skaner?

security ssl defilator
źródło
Ponadto, chyba że źle zrozumiem: „[Wyniki testu] są oparte na danych, które są gromadzone i przetwarzane masowo, więc mogą być nieaktualne i wyświetlać usługi jako wrażliwe po tym, jak operatorzy złagodzą problem”. co oznacza, że ​​nie aktualizuje się on w czasie rzeczywistym, a jeśli nie jesteś w stanie samodzielnie odtworzyć ataku, nieudany test nie musi być niepokojący.
To narzędzie pokazuje wrażliwe usługi wykryte w lutym 2016 r. I ponownie sprawdza, czy problem został naprawiony. Wyniki nie będą obejmować nowych serwerów ani serwerów, których nasz skaner przegapił. Aktualizacje na żywo są buforowane przez 15 minut. Odświeżyłem go wiele razy wczoraj i dzisiaj, ich skanery wydają się działać, ale zawsze wracają, że porty są podatne ... z ssllabs.com możesz od razu wyczyścić pamięć podręczną, aby zainicjować nowe ponowne skanowanie, ale wciąż pokazuje mi: 110 Tak Tak Luka w zabezpieczeniach (ten sam klucz z SSL v2)
defilator

Odpowiedzi:

41

Port 110 jest domyślnym portem dla POP3 , który historycznie jest protokołem czystego tekstu, ale został rozszerzony o obsługę STARTTLS negocjacji i aktualizacji do szyfrowanego połączenia za pośrednictwem tego czystego kanału tekstowego.

Sprawdziłbyś to za pomocą -starttlsprzełącznika w openssl:

openssl s_client -starttls pop3 -connect host:110

Bez użycia starttlsdo wybrania właściwego protokołu do negocjacji szyfrowania openssl nie byłby w stanie wykryć żadnej obsługi szyfrowania i opcji takich jak -ssl2lub -no_ssl2nie.

To samo dotyczy portu 25, ale z smtpprotokołem ...

HBruijn
źródło