Comment puis-je protéger mon serveur WHM contre POODLE ?

Publié: 2014-10-28

WHM Server Poodle

C'est quoi CANICHE ?

Le « POODLE » (Padding Oracle On Downgraded Legacy Encryption) est une attaque de déclassement de protocole dans la conception du protocole cryptographique SSL version 3.0. Ce bogue a été récemment découvert par le chercheur de l'équipe de sécurité Google Bodo Möller en collaboration avec Thai Duong et Krzysztof Kotowicz.

Que fait POODLE ?

Dans une attaque Poodlebleed, les intrus peuvent forcer une connexion à « se replier » sur SSL 3.0. De cette manière, l'attaquant peut accéder aux informations en texte brut à partir de la communication. En raison du bogue de SSL 3.0, les attaquants peuvent également voler des cookies (petits fichiers de données qui permettent un accès persistant à un service en ligne). Ces petits fichiers de données peuvent facilement permettre à un attaquant d'accéder à tout type de comptes Web. En tant qu'exploit de sécurité, il peut affecter tous les navigateurs et serveurs Web et, par conséquent, chacun d'entre nous pourrait être vulnérable.

Comment protéger les navigateurs contre POODLE ?

Vérifiez d'abord si vous êtes caniche vulnérable? Parcourez simplement le site Web de test client SSL de Qualys SSL Labs. Si vous obtenez un message "Votre agent utilisateur est vulnérable. Vous devez désactiver SSL 3. , vous êtes censé faire un peu de nettoyage dans les navigateurs.

La chose la plus simple que vous puissiez faire pour protéger les navigateurs est de désactiver la prise en charge de SSLv3. Par conséquent, même si le serveur offre un support SSLv3, votre navigateur refusera de l'utiliser. Si SSL 3.0 est désactivé sur votre navigateur, POODLE ne peut pas rétrograder le protocole cryptographique pour l'utiliser. Reportez-vous à l'article suivant sur Comment désactiver SSL 3.0 dans tous les principaux navigateurs (IE, Chrome et FireFox)

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

Veuillez noter que de nombreux sites Web utilisent encore SSLv3. Si vous désactivez SSL 3.0 à partir de votre navigateur, ces sites pourraient ne pas fonctionner correctement pour vous.

Comment puis-je protéger mon serveur WHM contre POODLE ?

Pour tester votre serveur contre POODLE, parcourez la page suivante :

https://www.ssllabs.com/ssltest/

Entrez n'importe quel site Web hébergé sur votre serveur. Ce test évaluera votre serveur par rapport aux vulnérabilités de sécurité potentielles et vous fournira le rapport de sécurité complet.

Si vous trouvez votre serveur WHM vulnérable dans ce test, il est recommandé de mettre à niveau la version cPanel/WHM vers 11.44.1.19 pour résoudre cette vulnérabilité.

Quelle version de cPanel/WHM j'utilise ?

Pour déterminer votre version de cPanel/WHM, connectez-vous simplement à WHM en tant que root et localisez la version en haut à droite de l'interface WHM.…..OU

Vous pouvez lancer la commande suivante dans le terminal :

/usr/local/cpanel/cpanel -V

Afin de protéger votre serveur WHM contre la vulnérabilité POODLE, cPanel a recommandé de mettre à jour le logiciel cPanel/WHM vers la version 11.44.1.19. cPanel a publié la version (11.44.1.19) pour désactiver SSLv3 le 22 octobre 2014.

Comment mettre à jour la version de cPanel/WHM ?

Pour mettre à niveau la version cPanel/WHM via le terminal, il vous suffit d'exécuter la commande suivante en tant qu'utilisateur root :

/scripts/upcp

Si vous souhaitez mettre à niveau le cPanel/WHM via le panneau de configuration WHM, suivez les étapes ci-dessous :

  • Connectez-vous à WHM et tapez simplement « upgrade » dans le champ de recherche.
  • Vous verrez "Mettre à niveau vers la dernière version" . Cliquez sur cette option
  • Si vous souhaitez envoyer à cPanel les fichiers journaux de votre tentative de mise à jour, cochez la case appropriée.

Si vous souhaitez désactiver cette option, désactivez l'option Envoyer des informations sur l'utilisation du serveur à cPanel pour analyse dans l'interface Tweak Settings de WHM ( Accueil >> Configuration du serveur >> Tweak Settings ).

  • Si vous souhaitez forcer une réinstallation du logiciel, cochez la case appropriée.
  • Cliquez sur Cliquez pour mettre à niveau .

WHM VPS Optimized

La nouvelle version désactivera la prise en charge de SSLv3 par défaut. Toutefois, pour que ces modifications prennent effet via le processus de mise à jour, les services doivent être redémarrés. De plus, une fois que vous aurez mis à niveau votre serveur, vous devrez suivre les étapes ci-dessous pour vous assurer que SSLv3 est correctement désactivé.

Pour Apache

  1. Allez dans WHM => Service Configuration => Apache Configuration => Global Configuration .
  2. SSL/TLS Cipher Suite (la deuxième option, pas "SSL Cipher Suite") doit contenir "All -SSLv2 -SSLv3".
  3. Allez au bas de la page et sélectionnez le bouton Enregistrer pour redémarrer le service.

Remarque sur les serveurs de messagerie

L'attaque POODLE oblige le client à réessayer de se connecter plusieurs fois afin de rétrograder vers SSLv3, et généralement seuls les navigateurs le feront. Les clients de messagerie ne sont pas aussi sensibles à POODLE. Cependant, les utilisateurs qui souhaitent une meilleure sécurité doivent passer à Dovecot jusqu'à ce que nous mettions Courier à niveau vers une version plus récente.

Pour cpsrvd

  1. Allez dans WHM => Configuration du service => Configuration des services Web cPanel
  2. Assurez-vous que le champ "Protocoles TLS/SSL" contient "SSLv23 : !SSLv2 : !SSLv3".
  3. Sélectionnez le bouton Enregistrer en bas.

Pour cpdavd

  1. Allez dans WHM => Configuration du service => Configuration du disque Web cPanel
  2. Assurez-vous que le champ "Protocoles TLS/SSL" contient "SSLv23 : !SSLv2 : !SSLv3".
  3. Sélectionnez le bouton Enregistrer en bas.

Pour Pigeonnier

  1. Allez dans WHM => Configuration du service => Configuration du serveur de messagerie
  2. Les protocoles SSL doivent contenir « !SSLv2 !SSLv3 ». Si ce n'est pas le cas, remplacez le texte dans ce champ.
  3. Allez au bas de la page et sélectionnez le bouton Enregistrer pour redémarrer le service.

Pour Courrier

Courier a publié une nouvelle version pour atténuer ce problème à partir du 22/10, jusqu'à ce que nous ayons l'occasion d'examiner, de tester et de publier la nouvelle version de Courier, veuillez passer à Dovecot pour une sécurité renforcée.

Pour Exim

  1. Allez dans Accueil => Configuration du service => Gestionnaire de configuration Exim
  2. Sous Advanced Editor, recherchez 'openssl_options'.
  3. Assurez-vous que le champ contient "+no_sslv2 +no_sslv3".
  4. Allez au bas de la page et sélectionnez le bouton Enregistrer pour redémarrer le service.

De plus, si vous avez déjà effectué des modifications de configuration manuelles sur votre serveur pour désactiver SSLv3, vous devrez annuler ces modifications.

Pour Apache

  1. Accédez à WHM => Service Configuration => Apache Configuration => Include Editor => Pre Main Include .
  2. Sélectionnez une version ou Toutes les versions.
  3. Supprimez les lignes suivantes de la zone de texte :

SSLHonorCipherOrder On
Protocole SSL +Tous -SSLv2 -SSLv3

  1. Appuyez sur le bouton Mettre à jour pour reconstruire votre configuration Apache.

Pour cpdavd

  1. Allez dans WHM => Configuration du service => Configuration du disque Web cPanel
  2. Assurez-vous que le champ "Protocoles TLS/SSL" contient "SSLv23 : !SSLv2 : !SSLv3".
  3. Sélectionnez le bouton Enregistrer en bas.

Pour Courrier

L'attaque POODLE oblige le client à réessayer de se connecter plusieurs fois afin de rétrograder vers SSLv3, et généralement seuls les navigateurs le feront. Les clients de messagerie ne sont pas aussi sensibles à POODLE. Cependant, les utilisateurs qui souhaitent une meilleure sécurité doivent passer à Dovecot jusqu'à ce que nous mettions Courier à niveau vers une version plus récente.

Pour Exim

  1. Allez dans WHM => Service Configuration => Exim Configuration Manager => Advanced Editor .
  2. Allez à SECTION : Config en haut.
  3. Recherchez openssl_options.
  4. Assurez-vous que ce paramètre est défini sur "+no_sslv2 + no_sslv3" qui est le cPanel par défaut.
  5. Allez au bas de la page et sélectionnez le bouton Enregistrer.

Comment sécuriser mon serveur Web Apache contre POODLE ?

Afin de désactiver SSLv3 dans Apache Web Server, vous devrez modifier la configuration Apache.

Pour les systèmes Debian et Ubuntu, le fichier que vous devez modifier est /etc/apache2/mods-available/ssl.conf .

Tapez la commande : sudo nano /etc/apache2/mods-available/ssl.conf

Ajoutez la ligne suivante dans la configuration Apache avec d'autres directives SSL.

Protocole SSL Tous -SSLv3 -SSLv2

Pour les systèmes CentOS et Fedora, le fichier que vous devez modifier est /etc/httpd/conf.d/ssl.conf .

Commande : sudo nano /etc/httpd/conf.d/ssl.conf

Ajoutez la ligne suivante à la configuration Apache avec d'autres directives SSL.

Protocole SSL Tous -SSLv3 -SSLv2

Enregistrez et fermez le fichier. Redémarrez le service Apache pour activer vos modifications.

Sur les systèmes Ubuntu et Debian, tapez la commande suivante pour redémarrer le service Apache :

redémarrage du service sudo apache2

Sur les systèmes CentOS et Fedora, saisissez la commande suivante pour redémarrer le service Apache :

redémarrage du service sudo httpd