SSL如何在端口110上?

14

我为DROWN攻击修补了Postfix + Dovecot服务器(我禁用了sslv2和sslv3)。

https://test.drownattack.com

Shows :25
vulnerable to CVE-2016-0703
:110
vulnerable to CVE-2016-0703
...

之后,如果我的命令行连接的OpenSSLs_client使用-ssl2开关那么协议不被支持。我可以认为这是他们的扫描仪未检测到的吗?

security  ssl 
污染者
source
另外,除非我误会:“ [测试结果]基于大量收集和处理的数据,所以在操作员缓解问题后,它们可能已过时,显示服务容易受到攻击。” 这意味着它不会实时更新,并且如果您不能自己重现攻击,则不必担心测试结果是否更新。
该工具显示了2016年2月检测到的易受攻击的服务,并再次进行探测以查看是否已修复。结果将不包括新服务器或扫描仪遗漏的服务器。实时更新被缓存15分钟。我昨天和今天也刷新了很多次,他们的扫描仪似乎也做了一些工作,但始终会发现端口易受攻击……通过ssllabs.com,您可以立即清除缓存以启动新的重新扫描,但它仍然向我显示: 110是是漏洞(与SSL v2相同的密钥)
污秽者

Answers:

41

端口110是POP3的默认端口,该端口历来是明文协议,但已扩展为支持STARTTLS 通过该明文通道协商和升级到加密连接。

您可以使用-starttlsopenssl中的开关进行测试:

openssl s_client -starttls pop3 -connect host:110

如果不使用starttls选择正确的协议来协商加密,openssl将无法检测到对加密的任何支持,无论如何,选项都会失败-ssl2-no_ssl2失败。

对于端口25同样如此,但是对于smtp协议...

鲁比恩
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.