Comment SSL peut-il être sur le port 110?

14

J'ai corrigé un serveur Postfix + Dovecot contre une attaque DROWN (j'ai désactivé sslv2 et sslv3).

https://test.drownattack.com

Shows :25
vulnerable to CVE-2016-0703
:110
vulnerable to CVE-2016-0703
...

Ensuite, si je connecte avec la ligne de commande OpenSSL « s à l' s_clientaide du -ssl2commutateur alors le protocole ne sera pas supporté. Puis-je prendre cela comme une mauvaise détection par leur scanner?

security ssl profanateur
la source
En outre, sauf erreur de ma part: "[Les résultats des tests] sont basés sur des données collectées et traitées en masse, ils peuvent donc être obsolètes et afficher les services comme vulnérables une fois que les opérateurs ont atténué le problème." ce qui signifie qu'il ne se met pas à jour en temps réel et si vous ne pouvez pas reproduire l'attaque vous-même, le résultat du test qui ne se met pas à jour n'est pas nécessairement un problème.
Cet outil affiche les services vulnérables détectés en février 2016 et sonde chacun à nouveau pour voir s'il a été corrigé. Les résultats n'incluront pas de nouveaux serveurs ou ceux que notre scanner a manqués. Les mises à jour en direct sont mises en cache pendant 15 minutes. Je l'ai rafraîchi plusieurs fois hier et aujourd'hui aussi, leurs scanners semblent faire un peu de travail mais reviennent toujours que les ports sont vulnérables ... avec ssllabs.com vous pouvez vider le cache tout de suite pour lancer une nouvelle analyse mais cela me montre toujours: 110 Oui Oui Vulnérable (même clé avec SSL v2)
profanateur

Réponses:

41

Le port 110 est le port par défaut pour POP3 , qui est historiquement un protocole en texte clair mais qui a été étendu pour prendre STARTTLS en charge la négociation et la mise à niveau vers une connexion cryptée sur ce canal de texte en clair.

Vous testeriez cela avec le -starttlscommutateur dans openssl:

openssl s_client -starttls pop3 -connect host:110

Sans utiliser starttlspour sélectionner le protocole correct pour négocier le chiffrement, openssl ne pourrait détecter aucune prise en charge du chiffrement et des options telles que -ssl2ou -no_ssl2échouerait malgré tout.

Il en va de même pour le port 25, mais avec le smtpprotocole ...

HBruijn
la source