Jak chronić mój serwer WHM przed POODLE?

Opublikowany: 2014-10-28

Co to jest pudel?

„POODLE” (Padding Oracle On Downgraded Legacy Encryption) to atak polegający na obniżaniu poziomu protokołu w projektowaniu protokołu kryptograficznego SSL w wersji 3.0. Ten błąd został niedawno odkryty przez badacza Google Security Team Bodo Möllera we współpracy z Thai Duongiem i Krzysztofem Kotowiczem.

Co robi pudel?

W ataku Poodlebleed intruzi mogą wymusić połączenie, aby „powrócić” do SSL 3.0. W ten sposób atakujący może uzyskać dostęp do informacji tekstowych z komunikacji. Ze względu na błąd w SSL 3.0, osoby atakujące mogą również wykraść pliki cookie (małe pliki danych, które umożliwiają stały dostęp do usługi online). Te małe pliki danych mogą z łatwością umożliwić atakującemu dostęp do dowolnego rodzaju kont internetowych. Jako exploit bezpieczeństwa może wpływać na wszystkie przeglądarki internetowe i serwery, a zatem każdy z nas może być narażony.

Jak chronić przeglądarki przed POODLE?

Najpierw sprawdź, czy jesteś podatny na POODLE? Po prostu przejrzyj stronę testową klienta SSL Qualys SSL Labs. Jeśli pojawi się komunikat „Twój agent użytkownika jest zagrożony. Powinieneś wyłączyć SSL 3.” , powinieneś zrobić trochę czyszczenia w przeglądarkach.

Najprostszą rzeczą, jaką możesz zrobić, aby chronić przeglądarki, jest wyłączenie obsługi SSLv3. Dlatego nawet jeśli serwer oferuje obsługę SSLv3, Twoja przeglądarka odmówi jej użycia. Jeśli protokół SSL 3.0 jest wyłączony w Twojej przeglądarce, POODLE nie może obniżyć wersji protokołu kryptograficznego, aby z niego korzystać. Zapoznaj się z następującym artykułem Jak wyłączyć SSL 3.0 we wszystkich głównych przeglądarkach (IE, Chrome i FireFox)

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

Należy pamiętać, że wiele stron internetowych nadal korzysta z SSLv3. Jeśli wyłączysz SSL 3.0 w swojej przeglądarce, te witryny mogą nie działać dobrze.

Jak chronić mój serwer WHM przed POODLE?

Aby przetestować swój serwer pod kątem POODLE, przejrzyj następującą stronę:

https://www.ssllabs.com/ssltest/

Wpisz dowolną witrynę hostowaną na Twoim serwerze. Ten test oceni Twój serwer pod kątem potencjalnych luk w zabezpieczeniach i dostarczy pełny raport o zabezpieczeniach.

Jeśli w tym teście stwierdzisz, że Twój serwer WHM jest podatny na ataki, zaleca się uaktualnienie wersji cPanel/WHM do 11.44.1.19 w celu usunięcia tej luki.

Jaką wersję cPanel/WHM używam?

Aby określić wersję cPanel/WHM, po prostu zaloguj się do WHM jako root i zlokalizuj wersję w prawym górnym rogu interfejsu WHM.…..LUB

W terminalu możesz uruchomić następujące polecenie:

/usr/local/cpanel/cpanel -V

W celu ochrony serwera WHM przed podatnością POODLE, cPanel zalecił aktualizację oprogramowania cPanel/WHM do wersji 11.44.1.19. cPanel wydał wersję (11.44.1.19), aby wyłączyć SSLv3 w dniu 22 października 2014 roku.

Jak zaktualizować wersję cPanel/WHM?

Aby zaktualizować wersję cPanel/WHM za pośrednictwem terminala, wystarczy uruchomić następujące polecenie jako użytkownik root:

/skrypty/upcp

Jeśli chcesz zaktualizować cPanel / WHM za pomocą Panelu sterowania WHM, wykonaj poniższe czynności:

Zaloguj się do WHM i po prostu wpisz „ upgrade ” w polu wyszukiwania.
Zobaczysz „Uaktualnij do najnowszej wersji” . Kliknij tę opcję
Jeśli chcesz wysłać cPanel pliki dziennika z próby aktualizacji, kliknij odpowiednie pole wyboru.

Jeśli chcesz wyłączyć tę opcję, wyłącz opcję Wyślij informacje o użyciu serwera do cPanel w celu analizy w interfejsie ustawień Tweak Settings WHM ( Strona główna >> Konfiguracja serwera >> Ustawienia Tweak ).

Jeśli chcesz wymusić ponowną instalację oprogramowania, zaznacz odpowiednie pole wyboru.
Kliknij Kliknij, aby uaktualnić .

WHM VPS Optimized

Nowsza wersja domyślnie wyłączy obsługę SSLv3. Aby jednak te zmiany zaczęły obowiązywać w procesie aktualizacji, usługi muszą zostać ponownie uruchomione. Ponadto, po uaktualnieniu serwera, będziesz musiał wykonać poniższe kroki, aby upewnić się, że SSLv3 jest prawidłowo wyłączony.

Dla Apaczów

Przejdź do WHM => Konfiguracja usługi => Konfiguracja Apache => Konfiguracja globalna .
SSL/TLS Cipher Suite (druga opcja, a nie „SSL Cipher Suite”) powinien zawierać „All -SSLv2 -SSLv3”.
Przejdź na dół strony i wybierz przycisk Zapisz , aby ponownie uruchomić usługę.

Uwaga na temat serwerów pocztowych

Atak POODLE wymaga od klienta kilkukrotnej próby połączenia w celu przejścia na wersję SSLv3 i zazwyczaj robią to tylko przeglądarki. Klienci poczty nie są tak podatni na POODLE. Jednak użytkownicy, którzy chcą większego bezpieczeństwa, powinni przejść na Dovecot, dopóki nie zaktualizujemy Courier do nowszej wersji.

Dla cpsrvd

Przejdź do WHM => Konfiguracja usługi => Konfiguracja usług internetowych cPanel
Upewnij się, że pole „Protokoły TLS/SSL” zawiera „SSLv23:!SSLv2:!SSLv3”.
Wybierz przycisk Zapisz na dole.

Dla cpdavd

Przejdź do WHM => Konfiguracja usługi => Konfiguracja dysku sieciowego cPanel
Upewnij się, że pole „Protokoły TLS/SSL” zawiera „SSLv23:!SSLv2:!SSLv3”.
Wybierz przycisk Zapisz na dole.

Dla Gołębnika

Przejdź do WHM => Konfiguracja usługi => Konfiguracja serwera pocztowego
Protokoły SSL powinny zawierać „!SSLv2 !SSLv3”. Jeśli nie, zastąp tekst w tym polu.
Przejdź na dół strony i wybierz przycisk Zapisz , aby ponownie uruchomić usługę.

Dla kuriera

Courier wydał nową wersję, aby złagodzić ten problem od 22.10., dopóki nie będziemy mieli okazji do przeglądu, przetestowania i opublikowania nowej wersji Courier, przejdź na Dovecot, aby zwiększyć bezpieczeństwo.

Dla Exim

Przejdź do strony głównej => Konfiguracja usługi => Menedżer konfiguracji Exim
W Edytorze zaawansowanym poszukaj „openssl_options”.
Upewnij się, że pole zawiera „+no_sslv2 +no_sslv3”.
Przejdź na dół strony i wybierz przycisk Zapisz , aby ponownie uruchomić usługę.

Ponadto, jeśli wprowadzono już ręczne zmiany konfiguracji na serwerze w celu wyłączenia SSLv3, konieczne będzie cofnięcie tych zmian.

Dla Apaczów

Przejdź do WHM => Konfiguracja usługi => Konfiguracja Apache => Uwzględnij edytor => Wstępne dołączanie do głównego .
Wybierz wersję lub Wszystkie wersje.
Usuń następujące wiersze z pola tekstowego:

SSLHonorCipherZamówienie włączone
Protokół SSL +Wszystkie -SSLv2 -SSLv3

Naciśnij przycisk Aktualizuj , aby odbudować konfigurację Apache.

Dla cpdavd

Przejdź do WHM => Konfiguracja usługi => Konfiguracja dysku sieciowego cPanel
Upewnij się, że pole „Protokoły TLS/SSL” zawiera „SSLv23:!SSLv2:!SSLv3”.
Wybierz przycisk Zapisz na dole.

Dla kuriera

Dla Exim

Przejdź do WHM => Konfiguracja usługi => Menedżer konfiguracji Exim => Edytor zaawansowany .
Przejdź do SEKCJI: Konfiguracja u góry.
Wyszukaj openssl_options.
Upewnij się, że to ustawienie jest ustawione na „+no_sslv2 +no_sslv3”, co jest wartością domyślną cPanel.
Przejdź na dół strony i wybierz przycisk Zapisz.

Jak zabezpieczyć serwer WWW Apache przed POODLE?

Aby wyłączyć SSLv3 w Apache Web Server, musisz edytować konfigurację Apache.

W przypadku systemów Debian i Ubuntu plik, który należy zmodyfikować, to /etc/apache2/mods-available/ssl.conf .

Wpisz polecenie: sudo nano /etc/apache2/mods-available/ssl.conf

Dodaj następujący wiersz w konfiguracji Apache z innymi dyrektywami SSL.

Protokół SSL Wszystkie -SSLv3 -SSLv2

W przypadku systemów CentOS i Fedora plik, który należy zmodyfikować, to /etc/httpd/conf.d/ssl.conf .

Polecenie: sudo nano /etc/httpd/conf.d/ssl.conf

Dodaj następujący wiersz do konfiguracji Apache z innymi dyrektywami SSL.

Protokół SSL Wszystkie -SSLv3 -SSLv2

Zapisz i zamknij plik. Uruchom ponownie usługę Apache, aby włączyć zmiany.

W systemach Ubuntu i Debian wpisz następujące polecenie, aby ponownie uruchomić usługę Apache:

usługa sudo restart apache2

W systemach CentOS i Fedora wpisz następujące polecenie, aby ponownie uruchomić usługę Apache:

restart usługi sudo httpd