Come posso proteggere il mio server WHM da POODLE?

Pubblicato: 2014-10-28

WHM Server Poodle

Cos'è POODLE?

Il "POODLE" (Padding Oracle On Downgraded Legacy Encryption) è un attacco di downgrade del protocollo nella progettazione del protocollo crittografico SSL versione 3.0. Questo bug è stato recentemente scoperto dal ricercatore del Google Security Team Bodo Möller in collaborazione con Thai Duong e Krzysztof Kotowicz.

Cosa fa POODLE?

In un attacco Poodlebleed, gli intrusi possono forzare una connessione al "fallback" a SSL 3.0. In questo modo, l'attaccante può accedere alle informazioni in testo normale dalla comunicazione. A causa del bug in SSL 3.0, gli aggressori possono anche rubare i cookie (piccoli file di dati che consentono l'accesso persistente a un servizio online). Questi piccoli file di dati possono facilmente consentire a un utente malintenzionato di accedere a qualsiasi tipo di account basato sul Web. Come exploit di sicurezza, può interessare tutti i browser Web e i server e quindi chiunque di noi potrebbe essere vulnerabile.

Come proteggo i browser da POODLE?

Per prima cosa controlla se sei vulnerabile a POODLE? Basta navigare nel sito Web SSL Client Test di Qualys SSL Labs. Se ricevi un messaggio "Il tuo user agent è vulnerabile. Dovresti disabilitare SSL 3." , dovresti fare un po' di pulizia nei browser.

La cosa più semplice che puoi fare per proteggere i browser è disabilitare il supporto SSLv3. Pertanto, anche se il server offre il supporto SSLv3, il tuo browser negherà di usarlo. Se SSL 3.0 è disabilitato sul tuo browser, POODLE non può effettuare il downgrade del protocollo crittografico per utilizzarlo. Fare riferimento al seguente articolo su Come disabilitare SSL 3.0 in tutti i principali browser (IE, Chrome e FireFox)

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

Tieni presente che molti siti Web utilizzano ancora SSLv3. Se disabiliti SSL 3.0 dal tuo browser, quei siti potrebbero non funzionare bene per te.

Come posso proteggere il mio server WHM da POODLE?

Per testare il tuo server contro POODLE, sfoglia la seguente pagina:

https://www.ssllabs.com/ssltest/

Inserisci qualsiasi sito Web ospitato sul tuo server. Questo test valuterà il tuo server rispetto a potenziali vulnerabilità di sicurezza e ti fornirà il rapporto completo sulla sicurezza.

Se ritieni che il tuo server WHM sia vulnerabile in questo test, ti consigliamo di aggiornare la versione cPanel/WHM alla 11.44.1.19 per risolvere questa vulnerabilità.

Quale versione di cPanel/WHM sto utilizzando?

Per determinare la tua versione cPanel/WHM, accedi a WHM come root e individua la versione in alto a destra dell'interfaccia WHM.…..OPPURE

Puoi lanciare il seguente comando nel terminale:

/usr/local/cpanel/cpanel -V

Per proteggere il tuo server WHM dalla vulnerabilità POODLE, cPanel ha consigliato di aggiornare il software cPanel/WHM alla versione 11.44.1.19. cPanel ha rilasciato la versione (11.44.1.19) per disabilitare SSLv3 il 22 ottobre 2014 .

Come si aggiorna la versione cPanel/WHM?

Per aggiornare la versione cPanel/WHM tramite terminale, devi solo eseguire il seguente comando come utente root:

/script/upcp

Se desideri aggiornare il cPanel/WHM tramite il pannello di controllo WHM, segui i passaggi indicati di seguito:

  • Accedi a WHM e digita semplicemente " upgrade " nella casella di ricerca.
  • Vedrai "Aggiorna all'ultima versione" . Fare clic su questa opzione
  • Se desideri inviare a cPanel i file di registro del tuo tentativo di aggiornamento, fai clic sulla casella di controllo appropriata.

Se desideri disabilitare questa opzione, disabilita l'opzione Invia informazioni sull'utilizzo del server a cPanel per l'analisi nell'interfaccia delle impostazioni di modifica di WHM ( Home >> Configurazione del server >> Impostazioni di modifica ).

  • Se desideri forzare una reinstallazione del software, seleziona la casella di controllo appropriata.
  • Fare clic su Fare clic per aggiornare .

WHM VPS Optimized

La versione più recente disabiliterà il supporto SSLv3 per impostazione predefinita. Tuttavia, affinché tali modifiche abbiano effetto attraverso il processo di aggiornamento, è necessario riavviare i servizi. Inoltre, una volta aggiornato il server, dovrai seguire i passaggi seguenti per assicurarti che SSLv3 sia disabilitato correttamente.

Per Apache

  1. Vai a WHM => Configurazione servizio => Configurazione Apache => Configurazione globale .
  2. SSL/TLS Cipher Suite (la seconda opzione, non “SSL Cipher Suite”) dovrebbe contenere “All -SSLv2 -SSLv3”.
  3. Vai in fondo alla pagina e seleziona il pulsante Salva per riavviare il servizio.

Nota sui server di posta

L'attacco POODLE richiede al client di riprovare a connettersi più volte per eseguire il downgrade a SSLv3 e in genere solo i browser lo faranno. I client di posta non sono così suscettibili a POODLE. Tuttavia, gli utenti che desiderano una maggiore sicurezza dovrebbero passare a Dovecot fino a quando non aggiorneremo Courier a una versione più recente.

Per cpsrvd

  1. Vai a WHM => Configurazione servizio => Configurazione servizi Web cPanel
  2. Assicurati che il campo "Protocolli TLS/SSL" contenga "SSLv23:!SSLv2:!SSLv3".
  3. Seleziona il pulsante Salva in basso.

Per cpdavd

  1. Vai a WHM => Configurazione servizio => Configurazione disco Web cPanel
  2. Assicurati che il campo "Protocolli TLS/SSL" contenga "SSLv23:!SSLv2:!SSLv3".
  3. Seleziona il pulsante Salva in basso.

Per Dovecot

  1. Vai a WHM => Configurazione del servizio => Configurazione del server di posta
  2. I protocolli SSL devono contenere "!SSLv2 !SSLv3". In caso contrario, sostituire il testo in questo campo.
  3. Vai in fondo alla pagina e seleziona il pulsante Salva per riavviare il servizio.

Per Corriere

Courier ha rilasciato una nuova versione per mitigare questo problema a partire dal 22/10, fino a quando non avremo l'opportunità di rivedere, testare e pubblicare la nuova versione di Courier, per favore passa a Dovecot per una maggiore sicurezza.

Per Exim

  1. Vai a Home => Configurazione del servizio => Exim Configuration Manager
  2. In Editor avanzato, cerca 'openssl_options'.
  3. Assicurati che il campo contenga "+no_sslv2 +no_sslv3".
  4. Vai in fondo alla pagina e seleziona il pulsante Salva per riavviare il servizio.

Inoltre, se hai già eseguito modifiche manuali alla configurazione sul tuo server per disabilitare SSLv3, dovrai ripristinare tali modifiche.

Per Apache

  1. Vai a WHM => Configurazione del servizio => Configurazione Apache => Editor di inclusione => Pre Main Include .
  2. Seleziona una versione o Tutte le versioni.
  3. Rimuovere le seguenti righe dalla casella di testo:

SSLHonorCipherOrdine attivato
Protocollo SSL +Tutti -SSLv2 -SSLv3

  1. Premi il pulsante Aggiorna per ricostruire la tua configurazione di Apache.

Per cpdavd

  1. Vai a WHM => Configurazione servizio => Configurazione disco Web cPanel
  2. Assicurati che il campo "Protocolli TLS/SSL" contenga "SSLv23:!SSLv2:!SSLv3".
  3. Seleziona il pulsante Salva in basso.

Per Corriere

L'attacco POODLE richiede al client di riprovare a connettersi più volte per eseguire il downgrade a SSLv3 e in genere solo i browser lo faranno. I client di posta non sono così suscettibili a POODLE. Tuttavia, gli utenti che desiderano una maggiore sicurezza dovrebbero passare a Dovecot fino a quando non aggiorneremo Courier a una versione più recente.

Per Exim

  1. Vai a WHM => Service Configuration => Exim Configuration Manager => Advanced Editor .
  2. Vai alla SEZIONE: Config in alto.
  3. Cerca openssl_options.
  4. Assicurati che questa impostazione sia impostata su "+no_sslv2 +no_sslv3" che è l'impostazione predefinita di cPanel.
  5. Vai in fondo alla pagina e seleziona il pulsante Salva.

Come posso proteggere il mio server Web Apache da POODLE?

Per disabilitare SSLv3 in Apache Web Server, dovrai modificare la configurazione di Apache.

Per i sistemi Debian e Ubuntu il file che devi modificare è /etc/apache2/mods-available/ssl.conf .

Digita il comando: sudo nano /etc/apache2/mods-available/ssl.conf

Aggiungi la riga seguente nella configurazione di Apache con altre direttive SSL.

SSLProtocol Tutti -SSLv3 -SSLv2

Per i sistemi CentOS e Fedora il file che devi modificare è /etc/httpd/conf.d/ssl.conf .

Comando: sudo nano /etc/httpd/conf.d/ssl.conf

Aggiungi la seguente riga alla configurazione di Apache con altre direttive SSL.

SSLProtocol Tutti -SSLv3 -SSLv2

Salva e chiudi il file. Riavvia il servizio Apache per abilitare le modifiche.

Sui sistemi Ubuntu e Debian, digita il seguente comando per riavviare il servizio Apache:

sudo servizio apache2 riavvio

Sui sistemi CentOS e Fedora digita il seguente comando per riavviare il servizio Apache:

sudo servizio httpd riavvio