Как SSL может быть на порту 110?

14

Я исправил сервер Postfix + Dovecot против атаки DROWN (я отключил sslv2 и sslv3).

https://test.drownattack.com

Shows :25
vulnerable to CVE-2016-0703
:110
vulnerable to CVE-2016-0703
...

После этого, если я соединюсь с командной строкой OpenSSL с s_clientпомощью -ssl2коммутатора, протокол не будет поддерживаться. Могу ли я принять это как неправильное обнаружение их сканером?

security ssl Осквернитель
источник
Кроме того, если я не пойму неправильно: «[Результаты испытаний] основаны на данных, которые собираются и обрабатываются в большом количестве, поэтому они могут быть устаревшими и отображать службы как уязвимые после того, как операторы устранят проблему». Это означает, что он не обновляется в режиме реального времени, и если вы не можете воспроизвести атаку самостоятельно, результат теста, который не обновляется, не обязательно беспокоит.
Этот инструмент показывает уязвимые сервисы, обнаруженные в феврале 2016 года, и каждый раз проверяет, исправлены ли они. Результаты не будут включать новые серверы или те, которые наш сканер пропустил. Актуальные обновления кэшируются в течение 15 минут. Я обновлял его много раз вчера и сегодня, их сканеры, кажется, делают некоторую работу, но всегда возвращаются, что порты уязвимы ... с ssllabs.com вы можете очистить кэш сразу, чтобы инициировать новое повторное сканирование, но оно все еще показывает мне: 110 Да Да Уязвимый (тот же ключ с SSL v2)
осквернитель

Ответы:

41

Порт 110 является портом по умолчанию для POP3 , который исторически является протоколом открытого текста, но который был расширен для поддержки STARTTLS согласования и обновления до зашифрованного соединения по этому каналу открытого текста.

Вы бы проверили это с помощью -starttlsпереключателя в openssl:

openssl s_client -starttls pop3 -connect host:110

Без использования starttlsвыбора правильного протокола для согласования шифрования openssl не сможет обнаружить какую-либо поддержку шифрования и параметры, такие как -ssl2или -no_ssl2потерпят неудачу независимо.

То же самое верно для порта 25, но затем с smtpпротоколом ...

HBruijn
источник