Como o SSL pode estar na porta 110?

14

I remendado um Postfix + Dovecot servidor contra um ataque AFOGUE (I desativado SSLv2 e sslv3).

https://test.drownattack.com

Shows :25
vulnerable to CVE-2016-0703
:110
vulnerable to CVE-2016-0703
...

Depois, se eu ligar com a linha de comando OpenSSL é s_clientusando o -ssl2interruptor então o protocolo não é suportado. Posso interpretar isso como uma detecção incorreta pelo scanner?

security ssl profanador
fonte
Além disso, a menos que eu entenda errado: "[Os resultados do teste] são baseados em dados que são coletados e processados ​​em massa, para que possam estar desatualizados e exibir serviços vulneráveis ​​depois que os operadores mitigarem o problema." o que significa que ele não é atualizado em tempo real e, se você não pode reproduzir o ataque, o resultado do teste não é atualizado.
Essa ferramenta mostra serviços vulneráveis ​​detectados em fevereiro de 2016 e analisa cada um novamente para verificar se foi corrigido. Os resultados não incluirão novos servidores ou aqueles que nosso scanner perdeu. As atualizações ao vivo são armazenadas em cache por 15 minutos. Atualizei-o muitas vezes ontem e hoje também, seus scanners parecem fazer algum trabalho, mas sempre volta que as portas são vulneráveis ​​... com ssllabs.com você pode limpar o cache imediatamente para iniciar uma nova varredura, mas ainda está me mostrando: 110 Sim Sim vulnerável (mesma chave com SSL v2)
profanador

Respostas:

41

A porta 110 é a porta padrão do POP3 , que historicamente é um protocolo de texto não criptografado, mas que foi estendido para oferecer suporte STARTTLS à negociação e atualização para uma conexão criptografada nesse canal de texto não criptografado.

Você testaria isso com a -starttlsopção no openssl:

openssl s_client -starttls pop3 -connect host:110

Sem usar starttlspara selecionar o protocolo correto para negociar a criptografia, o openssl não seria capaz de detectar nenhum suporte para criptografia e opções como -ssl2ou -no_ssl2falharia independentemente.

O mesmo vale para a porta 25, mas depois com o smtpprotocolo ...

HBruijn
fonte