WHMサーバーをPOODLEから保護するにはどうすればよいですか?

公開: 2014-10-28

WHM Server Poodle

プードルとは何ですか?

「POODLE」(ダウングレードされたレガシー暗号化でのOracleのパディング)は、暗号化プロトコルSSLバージョン3.0の設計におけるプロトコルダウングレード攻撃です。 このバグは、Googleセキュリティチームの研究者であるBodoMöllerがThaiDuongおよびKrzysztofKotowiczと共同で最近発見したものです。

POODLEは何をしますか?

Poodlebleed攻撃では、侵入者はSSL3.0への「フォールバック」への接続を強制する可能性があります。 このようにして、攻撃者は通信からプレーンテキスト情報にアクセスできます。 SSL 3.0のバグにより、攻撃者はCookie(オンラインサービスへの永続的なアクセスを可能にする小さなデータファイル)を盗むこともできます。 これらの小さなデータファイルは、攻撃者があらゆる種類のWebベースのアカウントに簡単にアクセスできるようにする可能性があります。 セキュリティの悪用として、すべてのWebブラウザとサーバーに影響を与える可能性があるため、誰もが脆弱になる可能性があります。

ブラウザをPOODLEから保護するにはどうすればよいですか?

まず、POODLEに対して脆弱かどうかを確認しますか? QualysSSLLabsのSSLクライアントテストWebサイトを参照するだけです。 「ユーザーエージェントは脆弱です。 SSL3を無効にする必要があります。」 、ブラウザでいくつかのクリーニングを行うことになっています。

ブラウザを保護するためにできる最も簡単なことは、SSLv3サポートを無効にすることです。 したがって、サーバーがSSLv3サポートを提供している場合でも、ブラウザーはSSLv3の使用を拒否します。 ブラウザでSSL3.0が無効になっている場合、POODLEは暗号化プロトコルをダウングレードして使用することはできません。 すべての主要なブラウザ(IE、Chrome、FireFox)でSSL 3.0を無効にする方法については、次の記事を参照してください。

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

多くのウェブサイトがまだSSLv3を使用していることに注意してください。 ブラウザからSSL3.0を無効にすると、それらのサイトがうまく機能しない可能性があります。

WHMサーバーをPOODLEから保護するにはどうすればよいですか?

サーバーをPOODLEに対してテストするには、次のページを参照してください。

https://www.ssllabs.com/ssltest/

サーバーでホストされているWebサイトを入力します。 このテストでは、潜在的なセキュリティの脆弱性に対してサーバーを評価し、完全なセキュリティレポートを提供します。

このテストでWHMサーバーが脆弱であることがわかった場合は、この脆弱性に対処するためにcPanel/WHMバージョンを11.44.1.19にアップグレードすることをお勧めします。

私が実行しているcPanel/WHMのバージョンは何ですか?

cPanel / WHMのバージョンを確認するには、rootとしてWHMにログインし、WHMインターフェイスの右上にあるバージョンを見つけます。…..または

ターミナルで次のコマンドを実行できます。

/ usr / local / cpanel / cpanel -V

WHMサーバーをPOODLEの脆弱性から保護するために、cPanelはcPanel/WHMソフトウェアをバージョン11.44.1.19にアップグレードすることをお勧めします。 cPanelは、2014年10月22日にSSLv3を無効にするバージョン(11.44.1.19)をリリースしました。

cPanel / WHMバージョンをアップグレードするにはどうすればよいですか?

ターミナルからcPanel/WHMバージョンをアップグレードするには、rootユーザーとして次のコマンドを実行する必要があります。

/ scripts / upcp

WHMコントロールパネルからcPanel/WHMをアップグレードする場合は、以下の手順に従ってください。

  • WHMにログインし、検索ボックスに「アップグレード」と入力するだけです。
  • 「最新バージョンへのアップグレード」が表示されます。 このオプションをクリックします
  • 更新の試行からcPanelにログファイルを送信する場合は、適切なチェックボックスをクリックします。

このオプションを無効にする場合は、WHMのTweak Settingsインターフェイス([ホーム]>>[サーバー構成]>>[ Tweak設定] )で、[分析のためにサーバーの使用状況に関する情報をcPanelに送信する]オプションを無効にします。

  • ソフトウェアの再インストールを強制する場合は、適切なチェックボックスを選択します。
  • [クリックしてアップグレード]をクリックします。

WHM VPS Optimized

新しいバージョンでは、デフォルトでSSLv3サポートが無効になります。 ただし、これらの変更を更新プロセスで有効にするには、サービスを再起動する必要があります。 また、サーバーをアップグレードしたら、SSLv3が適切に無効になっていることを確認するために、以下の手順に従う必要があります。

Apacheの場合

  1. WHM =>サービス設定=> Apache設定=>グローバル設定に移動します。
  2. SSL / TLS暗号スイート(「SSL暗号スイート」ではなく2番目のオプション)には、「すべての-SSLv2-SSLv3」が含まれている必要があります。
  3. ページの下部に移動し、[保存]ボタンを選択してサービスを再開します。

メールサーバーに関する注意

POODLE攻撃では、SSLv3にダウングレードするために、クライアントが接続を数回再試行する必要があります。通常、これを行うのはブラウザのみです。 メールクライアントはPOODLEの影響を受けません。 ただし、セキュリティを強化したいユーザーは、Courierを新しいバージョンにアップグレードするまでDovecotに切り替える必要があります。

cpsrvdの場合

  1. WHM =>サービス構成=> cPanelWebサービス構成に移動します
  2. 「TLS/SSLプロトコル」フィールドに「SSLv23:!SSLv2:!SSLv3」が含まれていることを確認してください。
  3. 下部にある[保存]ボタンを選択します。

cpdavdの場合

  1. WHM =>サービス構成=> cPanelWebディスク構成に移動します
  2. 「TLS/SSLプロトコル」フィールドに「SSLv23:!SSLv2:!SSLv3」が含まれていることを確認してください。
  3. 下部にある[保存]ボタンを選択します。

Dovecotの場合

  1. WHM =>サービス構成=>メールサーバー構成に移動します
  2. SSLプロトコルには「!SSLv2!SSLv3」が含まれている必要があります。 そうでない場合は、このフィールドのテキストを置き換えます。
  3. ページの下部に移動し、[保存]ボタンを選択してサービスを再開します。

宅配便の場合

Courierは、これを軽減するための新しいバージョンを10/22の時点でリリースしました。新しいバージョンのCourierをレビュー、テスト、および公開する機会が得られるまで、セキュリティを強化するためにDovecotに切り替えてください。

Eximの場合

  1. ホームに移動=>サービス構成=> Exim構成マネージャー
  2. Advanced Editorで、「openssl_options」を探します。
  3. フィールドに「+no_sslv2+no_sslv3」が含まれていることを確認してください。
  4. ページの下部に移動し、[保存]ボタンを選択してサービスを再開します。

さらに、SSLv3を無効にするためにサーバーで既に手動の構成変更を実行している場合は、それらの変更を元に戻す必要があります。

Apacheの場合

  1. WHM => Service Configuration => Apache Configuration => Include Editor => PreMainIncludeに移動します
  2. バージョンまたはすべてのバージョンを選択します。
  3. テキストボックスから次の行を削除します。

SSLHonorCipherOrder On
SSLプロトコル+すべて-SSLv2-SSLv3

  1. [更新]ボタンを押して、Apache構成を再構築します。

cpdavdの場合

  1. WHM =>サービス構成=> cPanelWebディスク構成に移動します
  2. 「TLS/SSLプロトコル」フィールドに「SSLv23:!SSLv2:!SSLv3」が含まれていることを確認してください。
  3. 下部にある[保存]ボタンを選択します。

宅配便の場合

POODLE攻撃では、SSLv3にダウングレードするために、クライアントが接続を数回再試行する必要があります。通常、これを行うのはブラウザのみです。 メールクライアントはPOODLEの影響を受けません。 ただし、セキュリティを強化したいユーザーは、Courierを新しいバージョンにアップグレードするまでDovecotに切り替える必要があります。

Eximの場合

  1. WHM => Service Configuration => Exim Configuration Manager => AdvancedEditorに移動します。
  2. セクション:上部の構成に移動します。
  3. openssl_optionsを検索します。
  4. この設定がcPanelのデフォルトである「+no_sslv2+no_sslv3」に設定されていることを確認してください。
  5. ページの下部に移動し、[保存]ボタンを選択します。

Apache WebサーバーをPOODLEから保護するにはどうすればよいですか?

Apache WebサーバーでSSLv3を無効にするには、Apache構成を編集する必要があります。

DebianおよびUbuntuシステムの場合、変更する必要のあるファイルは/etc/apache2/mods-available/ssl.confです。

コマンドを入力します: sudo nano /etc/apache2/mods-available/ssl.conf

他のSSLディレクティブを使用してApache構成に次の行を追加します。

SSLプロトコルすべて-SSLv3-SSLv2

CentOSおよびFedoraシステムの場合、変更する必要のあるファイルは/etc/httpd/conf.d/ssl.confです。

コマンド: sudo nano /etc/httpd/conf.d/ssl.conf

他のSSLディレクティブを使用してApache構成に次の行を追加します。

SSLプロトコルすべて-SSLv3-SSLv2

ファイルを保存して閉じます。 Apacheサービスを再起動して、変更を有効にします。

UbuntuおよびDebianシステムでは、次のコマンドを入力してApacheサービスを再起動します。

sudo service apache2 restart

CentOSおよびFedoraSystemsで、次のコマンドを入力してApacheサービスを再起動します。

sudo service httpd restart