¿Cómo puede estar SSL en el puerto 110?

14

Parcheé un servidor Postfix + Dovecot contra un ataque DROWN (deshabilité sslv2 y sslv3).

https://test.drownattack.com

Shows :25
vulnerable to CVE-2016-0703
:110
vulnerable to CVE-2016-0703
...

Después, si me conecto con la línea de comandos OpenSSL que está s_clientutilizando el -ssl2interruptor entonces no es compatible con el protocolo. ¿Puedo tomar esto como una detección errónea de su escáner?

security ssl profanador
fuente
Además, a menos que comprenda mal: "[Los resultados de la prueba] se basan en datos que se recopilan y procesan a granel, por lo que pueden estar desactualizados y mostrar los servicios como vulnerables después de que los operadores hayan mitigado el problema". lo que significa que no se actualiza en tiempo real y si no puede reproducir el ataque usted mismo, el resultado de la prueba que no se actualiza no es necesariamente preocupante.
Esta herramienta muestra servicios vulnerables detectados en febrero de 2016 y sondea cada uno nuevamente para ver si se ha solucionado. Los resultados no incluirán nuevos servidores o los que nuestro escáner perdió. Las actualizaciones en vivo se almacenan en caché durante 15 minutos. Lo actualicé muchas veces ayer y hoy también, sus escáneres parecen hacer algo de trabajo, pero siempre regresa diciendo que los puertos son vulnerables ... con ssllabs.com puede borrar el caché de inmediato para iniciar un nuevo escaneo, pero aún me muestra: 110 Sí Sí Vulnerable (misma clave con SSL v2)
defiler

Respuestas:

41

El puerto 110 es el puerto predeterminado para POP3 , que históricamente es un protocolo de texto claro, pero que se ha ampliado para admitir la STARTTLS negociación y la actualización a una conexión cifrada a través de ese canal de texto claro.

Lo probarías con el -starttlsinterruptor en openssl:

openssl s_client -starttls pop3 -connect host:110

Sin usar starttlspara seleccionar el protocolo correcto para negociar el cifrado, openssl no podría detectar ningún soporte para el cifrado y las opciones como -ssl2o -no_ssl2fallarían independientemente.

Lo mismo es cierto para el puerto 25, pero luego con el smtpprotocolo ...

HBruijn
fuente