포트 110에서 SSL을 어떻게 사용할 수 있습니까?

14

DROWN 공격 에 대해 Postfix + Dovecot 서버를 패치했습니다 (sslv2 및 sslv3을 비활성화했습니다).

https://test.drownattack.com

Shows :25
vulnerable to CVE-2016-0703
:110
vulnerable to CVE-2016-0703
...

내가 명령 줄에 연결하면 이후 에는 OpenSSLs_client사용하여 -ssl2다음 프로토콜이 지원되지 않는 스위치를. 스캐너에서이를 오 검출로 받아 들일 수 있습니까?

security  ssl 
파멸 자
소스
또한, 내가 오해하지 않는 한 : "[테스트 결과]는 대량으로 수집되고 처리 된 데이터를 기반으로하므로, 운영자가 문제를 완화 한 후에 오래되어 서비스가 취약한 것으로 표시 될 수 있습니다." 즉, 실시간으로 업데이트되지 않으며 공격을 직접 재현 할 수없는 경우 테스트 결과가 업데이트되지 않는 것이 중요하지 않습니다.
이 도구는 2016 년 2 월에 탐지 된 취약한 서비스를 보여주고 수정되었는지 확인하기 위해 각각 다시 검사합니다. 새 서버 나 스캐너가 놓친 서버는 결과에 포함되지 않습니다. 라이브 업데이트는 15 분 동안 캐시됩니다. 어제와 오늘도 여러 번 새로 고쳤습니다. 스캐너는 약간의 작업을하는 것처럼 보이지만 항상 포트가 취약한 것으로 돌아옵니다 ... 110 예 예 취약성 (SSL v2와 동일한 키)
디파일러

답변:

41

포트 110은 POP3 의 기본 포트로 , 이전에는 일반 텍스트 프로토콜이지만 STARTTLS 일반 텍스트 채널을 통해 암호화 된 연결로 협상하고 업그레이드하도록 지원 하도록 확장되었습니다 .

-starttlsopenssl 의 스위치 를 사용하여 테스트합니다 .

openssl s_client -starttls pop3 -connect host:110

starttls암호화 협상을 위해 올바른 프로토콜을 선택 하지 않으면 openssl은 암호화 및 옵션에 대한 지원을 감지하지 못 -ssl2하거나 -no_ssl2실패합니다.

포트 25의 경우에도 마찬가지이지만 smtp프로토콜의 경우도 마찬가지입니다 .

HBruijn
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.