SSL สามารถใช้กับพอร์ต 110 ได้อย่างไร

14

ฉันแก้ไขเซิร์ฟเวอร์Postfix + Dovecotกับการโจมตี DROWN (ฉันปิดใช้งาน sslv2 และ sslv3)

https://test.drownattack.com

Shows :25
vulnerable to CVE-2016-0703
:110
vulnerable to CVE-2016-0703
...

หลังจากนั้นถ้าฉันเชื่อมต่อกับบรรทัดคำสั่งOpenSSL 's s_clientใช้-ssl2สวิทช์แล้วโปรโตคอลที่ไม่ได้รับการสนับสนุน ฉันสามารถใช้สิ่งนี้เป็นเครื่องตรวจจับที่ผิดพลาดได้หรือไม่?

security  ssl 
Defiler
แหล่งที่มา
นอกจากนี้หากฉันเข้าใจผิด: "[ผลการทดสอบ] ขึ้นอยู่กับข้อมูลที่รวบรวมและประมวลผลเป็นกลุ่มดังนั้นพวกเขาอาจล้าสมัยและแสดงบริการที่มีความเสี่ยงหลังจากที่ผู้ปฏิบัติงานบรรเทาปัญหา" ซึ่งหมายความว่าจะไม่อัปเดตตามเวลาจริงและหากคุณไม่สามารถสร้างการโจมตีได้ด้วยตัวเองผลการทดสอบที่ไม่อัปเดตก็ไม่จำเป็นต้องกังวล
เครื่องมือนี้แสดงบริการที่มีช่องโหว่ที่ตรวจพบในเดือนกุมภาพันธ์ 2559 และตรวจสอบอีกครั้งเพื่อดูว่ามีการแก้ไขหรือไม่ ผลลัพธ์จะไม่รวมเซิร์ฟเวอร์ใหม่หรือสิ่งที่เครื่องสแกนของเราพลาด การอัปเดตสดจะถูกแคชเป็นเวลา 15 นาที ฉันรีเฟรชหลายครั้งเมื่อวานนี้และวันนี้สแกนเนอร์ของพวกเขาดูเหมือนจะทำงานบางอย่าง แต่กลับมาเสมอว่าพอร์ตมีความเสี่ยง ... ด้วย ssllabs.com คุณสามารถล้างแคชได้ทันทีเพื่อเริ่มการสแกนใหม่ แต่ก็ยังแสดงให้ฉันเห็น: 110 ใช่ใช่ช่องโหว่ (รหัสเดียวกันกับ SSL v2)
defiler

คำตอบ:

41

พอร์ต 110 เป็นพอร์ตเริ่มต้นสำหรับPOP3ซึ่งในอดีตเป็นโปรโตคอลข้อความที่ชัดเจน แต่ได้รับการขยายเพื่อรองรับSTARTTLS การเจรจาและอัปเกรดเป็นการเชื่อมต่อที่เข้ารหัสผ่านช่องทางข้อความที่ชัดเจนนั้น

คุณจะทดสอบด้วย-starttlsสวิตช์ใน openssl:

openssl s_client -starttls pop3 -connect host:110

หากไม่ใช้starttlsเพื่อเลือกโปรโตคอลที่ถูกต้องเพื่อเจรจาการเข้ารหัส openssl จะไม่สามารถตรวจจับการสนับสนุนการเข้ารหัสและตัวเลือกต่าง ๆ เช่น-ssl2หรือ-no_ssl2ล้มเหลวโดยไม่คำนึงถึง

สิ่งเดียวกันถือเป็นจริงสำหรับพอร์ต 25 แต่ด้วยsmtpโปรโตคอล ...

HBruijn
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.