Wie kann SSL auf Port 110 sein?

14

Ich habe einen Postfix + Dovecot- Server gegen einen DROWN-Angriff gepatcht (ich habe sslv2 und sslv3 deaktiviert).

https://test.drownattack.com

Shows :25
vulnerable to CVE-2016-0703
:110
vulnerable to CVE-2016-0703
...

Wenn ich danach über den Switch eine Verbindung mit der Befehlszeile von OpenSSL herstelle , wird das Protokoll nicht unterstützt. Kann ich dies als eine Fehlerkennung durch den Scanner ansehen?s_client-ssl2

security ssl Entweiher
quelle
Es sei denn, ich verstehe Folgendes falsch: "[Die Testergebnisse] basieren auf Daten, die in großen Mengen gesammelt und verarbeitet werden. Daher sind sie möglicherweise veraltet und zeigen Dienste als anfällig an, nachdem die Bediener das Problem behoben haben." Das heißt, es wird nicht in Echtzeit aktualisiert. Wenn Sie den Angriff nicht selbst reproduzieren können, ist das nicht aktualisierte Testergebnis nicht unbedingt von Belang.
Dieses Tool zeigt anfällige Dienste an, die im Februar 2016 erkannt wurden, und überprüft diese erneut, um festzustellen, ob sie behoben wurden. Die Ergebnisse enthalten keine neuen Server oder solche, die unser Scanner übersehen hat. Live-Updates werden für 15 Minuten zwischengespeichert. Ich habe es gestern und heute viele Male aktualisiert. Die Scanner scheinen etwas zu funktionieren, aber es wird immer wieder darauf hingewiesen, dass die Ports anfällig sind. Mit ssllabs.com können Sie den Cache sofort leeren, um einen erneuten Scan zu starten. Es wird jedoch weiterhin angezeigt: 110 Ja Ja Vulnerable (gleicher Schlüssel mit SSL v2)
Defiler

Antworten:

41

Port 110 ist der Standardport für POP3 , das in der Vergangenheit ein Klartextprotokoll war, das jedoch erweitert wurde, um STARTTLS die Aushandlung und Aktualisierung einer verschlüsselten Verbindung über diesen Klartextkanal zu unterstützen.

Sie würden das mit dem -starttlsSchalter in openssl testen :

openssl s_client -starttls pop3 -connect host:110

Ohne die starttlsAuswahl des richtigen Protokolls zur Aushandlung der Verschlüsselung wäre openssl nicht in der Lage, Verschlüsselungsunterstützung zu erkennen, und Optionen wie -ssl2oder -no_ssl2würden unabhängig davon fehlschlagen.

Das gleiche gilt für Port 25, aber dann mit dem smtpProtokoll ...

HBruijn
quelle