¿Cómo protejo mi servidor WHM contra POODLE?

Publicado: 2014-10-28

WHM Server Poodle

¿Qué es CANICHE?

El “POODLE” (Padding Oracle On Downgraded Legacy Encryption) es un ataque de degradación de protocolo en el diseño del protocolo criptográfico SSL versión 3.0. Este error fue descubierto recientemente por el investigador del equipo de seguridad de Google, Bodo Möller, en colaboración con Thai Duong y Krzysztof Kotowicz.

¿Qué hace CANICHE?

En un ataque de Poodlebleed, los intrusos pueden forzar una conexión a "retroceder" a SSL 3.0. De esta forma, el atacante puede acceder a la información de texto plano de la comunicación. Debido al error en SSL 3.0, los atacantes también pueden robar cookies (pequeños archivos de datos que permiten el acceso persistente a un servicio en línea). Estos pequeños archivos de datos pueden permitir fácilmente que un atacante acceda a cualquier tipo de cuenta basada en la Web. Como vulnerabilidad de seguridad, puede afectar a todos los navegadores y servidores web y, por lo tanto, cualquiera de nosotros podría ser vulnerable.

¿Cómo protejo los navegadores contra POODLE?

¿Primero verifica si eres vulnerable a CANICHE? Simplemente navegue por el sitio web de prueba de cliente SSL de Qualys SSL Labs. Si recibe un mensaje “Su agente de usuario es vulnerable. Deberías deshabilitar SSL 3.” , se supone que debes hacer algo de limpieza en los navegadores.

Lo más simple que puede hacer para proteger los navegadores es deshabilitar la compatibilidad con SSLv3. Por lo tanto, incluso si el servidor ofrece soporte SSLv3, su navegador negará su uso. Si SSL 3.0 está deshabilitado en su navegador, POODLE no puede degradar el protocolo criptográfico para usarlo. Consulte el siguiente artículo sobre cómo deshabilitar SSL 3.0 en todos los principales navegadores (IE, Chrome y FireFox)

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

Tenga en cuenta que muchos sitios web todavía usan SSLv3. Si deshabilita SSL 3.0 desde su navegador, es posible que esos sitios no funcionen bien para usted.

¿Cómo protejo mi servidor WHM contra POODLE?

Para probar su servidor contra POODLE, navegue por la siguiente página:

https://www.ssllabs.com/ssltest/

Ingrese a cualquier sitio web alojado en su servidor. Esta prueba evaluará su servidor frente a posibles vulnerabilidades de seguridad y le proporcionará el informe de seguridad completo.

Si encuentra que su servidor WHM es vulnerable en esta prueba, se recomienda actualizar la versión de cPanel/WHM a 11.44.1.19 para abordar esta vulnerabilidad.

¿Qué versión de cPanel/WHM estoy ejecutando?

Para determinar su versión de cPanel/WHM, simplemente inicie sesión en WHM como root y ubique la versión en la parte superior derecha de la interfaz de WHM... O

Puede disparar el siguiente comando en la terminal:

/usr/local/cpanel/cpanel -V

Para proteger su servidor WHM contra la vulnerabilidad POODLE, cPanel recomienda actualizar el software cPanel/WHM a la versión 11.44.1.19. cPanel lanzó la versión (11.44.1.19) para deshabilitar SSLv3 el 22 de octubre de 2014.

¿Cómo actualizo la versión de cPanel/WHM?

Para actualizar la versión de cPanel/WHM a través de la terminal, solo necesita ejecutar el siguiente comando como usuario root:

/scripts/upcp

Si desea actualizar cPanel/WHM a través del Panel de control de WHM, siga los pasos mencionados a continuación:

  • Inicie sesión en WHM y simplemente escriba " actualizar " en el cuadro de búsqueda.
  • Verá "Actualizar a la última versión" . Haga clic en esta opción
  • Si desea enviar a cPanel los archivos de registro de su intento de actualización, haga clic en la casilla correspondiente.

Si desea deshabilitar esta opción, deshabilite Enviar información sobre el uso del servidor a cPanel para la opción de análisis en la interfaz de configuración de Tweak de WHM ( Inicio >> Configuración del servidor >> Configuración de Tweak ).

  • Si desea forzar una reinstalación del software, seleccione la casilla de verificación correspondiente.
  • Haga clic en Haga clic para actualizar .

WHM VPS Optimized

La versión más reciente desactivará la compatibilidad con SSLv3 de forma predeterminada. Sin embargo, para que esos cambios surtan efecto a través del proceso de actualización, se deben reiniciar los servicios. Además, una vez que actualice su servidor, deberá seguir los pasos a continuación para asegurarse de que SSLv3 esté correctamente deshabilitado.

para apache

  1. Vaya a WHM => Configuración de servicio => Configuración de Apache => Configuración global .
  2. SSL/TLS Cipher Suite (la segunda opción, no “SSL Cipher Suite”) debe contener “All -SSLv2 -SSLv3”.
  3. Vaya a la parte inferior de la página y seleccione el botón Guardar para reiniciar el servicio.

Nota sobre servidores de correo

El ataque POODLE requiere que el cliente vuelva a intentar conectarse varias veces para cambiar a SSLv3 y, por lo general, solo los navegadores lo harán. Los clientes de correo no son tan susceptibles a POODLE. Sin embargo, los usuarios que deseen una mayor seguridad deben cambiarse a Dovecot hasta que actualicemos Courier a una versión más nueva.

Para cpsrvd

  1. Vaya a WHM => Configuración del servicio => Configuración de servicios web de cPanel
  2. Asegúrese de que el campo "Protocolos TLS/SSL" contenga "SSLv23:!SSLv2:!SSLv3".
  3. Seleccione el botón Guardar en la parte inferior.

Para cpdavd

  1. Vaya a WHM => Configuración del servicio => Configuración del disco web de cPanel
  2. Asegúrese de que el campo "Protocolos TLS/SSL" contenga "SSLv23:!SSLv2:!SSLv3".
  3. Seleccione el botón Guardar en la parte inferior.

para palomar

  1. Vaya a WHM => Configuración del servicio => Configuración del servidor de correo
  2. Los protocolos SSL deben contener “!SSLv2 !SSLv3”. Si no es así, reemplace el texto en este campo.
  3. Vaya a la parte inferior de la página y seleccione el botón Guardar para reiniciar el servicio.

para mensajería

Courier lanzó una nueva versión para mitigar esto a partir del 22/10, hasta que tengamos la oportunidad de revisar, probar y publicar la nueva versión de Courier, cambie a Dovecot para mejorar la seguridad.

Para Exim

  1. Vaya a Inicio => Configuración del servicio => Administrador de configuración de Exim
  2. En Editor avanzado, busque 'openssl_options'.
  3. Asegúrese de que el campo contenga "+no_sslv2 +no_sslv3".
  4. Vaya a la parte inferior de la página y seleccione el botón Guardar para reiniciar el servicio.

Además, si ya realizó cambios de configuración manuales en su servidor para deshabilitar SSLv3, deberá revertir esos cambios.

para apache

  1. Vaya a WHM => Configuración del servicio => Configuración de Apache => Editor de inclusión => Incluir preprincipal .
  2. Seleccione una versión o Todas las versiones.
  3. Elimine las siguientes líneas del cuadro de texto:

SSLHonorCipherPedido en
Protocolo SSL +Todo -SSLv2 -SSLv3

  1. Presione el botón Actualizar para reconstruir su configuración de Apache.

Para cpdavd

  1. Vaya a WHM => Configuración del servicio => Configuración del disco web de cPanel
  2. Asegúrese de que el campo "Protocolos TLS/SSL" contenga "SSLv23:!SSLv2:!SSLv3".
  3. Seleccione el botón Guardar en la parte inferior.

para mensajería

El ataque POODLE requiere que el cliente vuelva a intentar conectarse varias veces para cambiar a SSLv3 y, por lo general, solo los navegadores lo harán. Los clientes de correo no son tan susceptibles a POODLE. Sin embargo, los usuarios que deseen una mayor seguridad deben cambiarse a Dovecot hasta que actualicemos Courier a una versión más nueva.

Para Exim

  1. Vaya a WHM => Configuración de servicio => Administrador de configuración de Exim => Editor avanzado .
  2. Vaya a SECCIÓN: Configuración en la parte superior.
  3. Busque openssl_options.
  4. Asegúrese de que esta configuración esté establecida en "+no_sslv2 +no_sslv3", que es el valor predeterminado de cPanel.
  5. Vaya a la parte inferior de la página y seleccione el botón Guardar.

¿Cómo aseguro mi servidor web Apache contra POODLE?

Para deshabilitar SSLv3 en el servidor web Apache, deberá editar la configuración de Apache.

Para los sistemas Debian y Ubuntu, el archivo que debe modificar es /etc/apache2/mods-disponible/ssl.conf .

Escriba el comando: sudo nano /etc/apache2/mods-disponible/ssl.conf

Agregue la siguiente línea en la configuración de Apache con otras directivas SSL.

Protocolo SSL Todo -SSLv3 -SSLv2

Para los sistemas CentOS y Fedora, el archivo que debe modificar es /etc/httpd/conf.d/ssl.conf .

Comando: sudo nano /etc/httpd/conf.d/ssl.conf

Agregue la siguiente línea a la configuración de Apache con otras directivas SSL.

Protocolo SSL Todo -SSLv3 -SSLv2

Guarde y cierre el archivo. Reinicie el servicio Apache para habilitar sus cambios.

En los sistemas Ubuntu y Debian, escriba el siguiente comando para reiniciar el servicio Apache:

reinicio del servicio sudo apache2

En CentOS y Fedora Systems, escriba el siguiente comando para reiniciar el servicio Apache:

reinicio del servicio sudo httpd