Cum îmi protejez serverul WHM împotriva POODLE?

Publicat: 2014-10-28

WHM Server Poodle

Ce este POODLE?

„POODLE” (Padding Oracle On Downgraded Legacy Encryption) este un atac de downgrade a protocolului în proiectarea protocolului criptografic SSL versiunea 3.0. Această eroare a fost descoperită recent de cercetătorul echipei de securitate Google, Bodo Möller, în colaborare cu Thai Duong și Krzysztof Kotowicz.

Ce face POODLE?

Într-un atac Poodlebleed, intrușii pot forța o conexiune să „retragă” la SSL 3.0. În acest fel, atacatorul poate accesa informațiile în text simplu din comunicare. Datorită bug-ului din SSL 3.0, atacatorii pot fura și cookie-uri (fișiere de date mici care permit accesul persistent la un serviciu online). Aceste fișiere de date mici pot permite cu ușurință accesul unui atacator la orice tip de conturi bazate pe web. Ca exploatare de securitate, poate afecta toate browserele web și serverele și, prin urmare, oricare dintre noi ar putea fi vulnerabil.

Cum protejez browserele împotriva POODLE?

Mai întâi verifică dacă ești vulnerabil POODLE? Pur și simplu răsfoiți site-ul web de testare a clientului SSL al Qualys SSL Labs. Dacă primiți un mesaj „Agentul dvs. de utilizator este vulnerabil. Ar trebui să dezactivați SSL 3.” , ar trebui să faci ceva curățare în browsere.

Cel mai simplu lucru pe care îl puteți face pentru a proteja browserele este dezactivarea suportului SSLv3. Prin urmare, chiar dacă serverul oferă suport SSLv3, browserul dvs. va refuza să-l folosească. Dacă SSL 3.0 este dezactivat în browserul dvs., POODLE nu poate să downgrade protocolul criptografic pentru a-l utiliza. Consultați următorul articol despre Cum să dezactivați SSL 3.0 în toate browserele majore (IE, Chrome și FireFox)

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

Vă rugăm să rețineți că multe site-uri web încă folosesc SSLv3. Dacă dezactivați SSL 3.0 din browser, este posibil ca acele site-uri să nu funcționeze bine pentru dvs.

Cum îmi protejez serverul WHM împotriva POODLE?

Pentru a vă testa serverul împotriva POODLE, răsfoiți următoarea pagină:

https://www.ssllabs.com/ssltest/

Introduceți orice site web găzduit pe serverul dvs. Acest test vă va evalua serverul în raport cu potențialele vulnerabilități de securitate și vă va oferi raportul complet de securitate.

Dacă vă găsiți serverul WHM vulnerabil în acest test, vi se recomandă să actualizați versiunea cPanel/WHM la 11.44.1.19 pentru a rezolva această vulnerabilitate.

Ce versiune de cPanel/WHM rulez?

Pentru a vă determina versiunea cPanel/WHM, trebuie doar să vă conectați la WHM ca rădăcină și să găsiți versiunea în colțul din dreapta sus al interfeței WHM…..SAU

Puteți lansa următoarea comandă în terminal:

/usr/local/cpanel/cpanel -V

Pentru a vă proteja serverul WHM împotriva vulnerabilității POODLE, cPanel a recomandat să actualizați software-ul cPanel/WHM la versiunea 11.44.1.19. cPanel a lansat versiunea (11.44.1.19) pentru a dezactiva SSLv3 pe 22 octombrie 2014.

Cum fac upgrade la versiunea cPanel/WHM?

Pentru a actualiza versiunea cPanel/WHM prin terminal, trebuie doar să rulați următoarea comandă ca utilizator root:

/scripts/upcp

Dacă doriți să faceți upgrade cPanel/WHM prin WHM Control Panel, urmați pașii menționați mai jos:

  • Conectați-vă la WHM și introduceți doar „ upgrade ” în caseta de căutare.
  • Veți vedea „Faceți upgrade la cea mai recentă versiune” . Faceți clic pe această opțiune
  • Dacă doriți să trimiteți cPanel fișierele jurnal din încercarea dvs. de actualizare, faceți clic pe caseta de selectare corespunzătoare.

Dacă doriți să dezactivați această opțiune, dezactivați opțiunea Trimitere informații despre utilizarea serverului către cPanel pentru analiză din interfața Tweak Settings a WHM ( Acasă >> Configurare server >> Tweak Settings ).

  • Dacă doriți să forțați reinstalarea software-ului, bifați caseta de selectare corespunzătoare.
  • Faceți clic pe Faceți clic pentru a face upgrade .

WHM VPS Optimized

Versiunea mai nouă va dezactiva suportul SSLv3 în mod implicit. Cu toate acestea, pentru ca aceste modificări să intre în vigoare prin procesul de actualizare, serviciile trebuie repornite. De asemenea, odată ce vă actualizați serverul, va trebui să urmați pașii de mai jos pentru a vă asigura că SSLv3 este dezactivat corect.

Pentru Apache

  1. Accesați WHM => Service Configuration => Apache Configuration => Global Configuration .
  2. SSL/TLS Cipher Suite (a doua opțiune, nu „SSL Cipher Suite”) ar trebui să conțină „Toate -SSLv2 -SSLv3”.
  3. Mergeți în partea de jos a paginii și selectați butonul Salvare pentru a reporni serviciul.

Notă despre serverele de e-mail

Atacul POODLE solicită clientului să reîncerce conectarea de mai multe ori pentru a face downgrade la SSLv3 și, de obicei, numai browserele vor face acest lucru. Clienții de e-mail nu sunt la fel de sensibili la POODLE. Cu toate acestea, utilizatorii care doresc o securitate mai bună ar trebui să treacă la Dovecot până când facem upgrade la Courier la o versiune mai nouă.

Pentru cpsrvd

  1. Accesați WHM => Configurare serviciu => Configurare servicii web cPanel
  2. Asigurați-vă că câmpul „TLS/SSL Protocols” conține „SSLv23:!SSLv2:!SSLv3”.
  3. Selectați butonul Salvare din partea de jos.

Pentru cpdavd

  1. Accesați WHM => Service Configuration => cPanel Web Disk Configuration
  2. Asigurați-vă că câmpul „TLS/SSL Protocols” conține „SSLv23:!SSLv2:!SSLv3”.
  3. Selectați butonul Salvare din partea de jos.

Pentru Dovecot

  1. Accesați WHM => Service Configuration => Mailserver Configuration
  2. Protocoalele SSL ar trebui să conțină „!SSLv2 !SSLv3”. Dacă nu, înlocuiți textul din acest câmp.
  3. Mergeți în partea de jos a paginii și selectați butonul Salvare pentru a reporni serviciul.

Pentru curier

Courier a lansat o nouă versiune pentru a atenua acest lucru începând cu 10/22, până când vom avea o oportunitate de a revizui, testa și publică noua versiune de Courier, vă rugăm să treceți la Dovecot pentru o securitate sporită.

Pentru Exim

  1. Accesați Acasă => Configurare serviciu => Manager de configurare Exim
  2. Sub Editor avansat, căutați „openssl_options”.
  3. Asigurați-vă că câmpul conține „+no_sslv2 +no_sslv3”.
  4. Mergeți în partea de jos a paginii și selectați butonul Salvare pentru a reporni serviciul.

În plus, dacă ați efectuat deja modificări manuale de configurare pe server pentru a dezactiva SSLv3, va trebui să anulați aceste modificări.

Pentru Apache

  1. Accesați WHM => Service Configuration => Apache Configuration => Include Editor => Pre Main Include .
  2. Selectați o versiune sau Toate versiunile.
  3. Eliminați următoarele rânduri din caseta de text:

SSLHonorCipherComandă activată
SSLProtocol +Toate -SSLv2 -SSLv3

  1. Apăsați butonul Actualizare pentru a vă reconstrui configurația Apache.

Pentru cpdavd

  1. Accesați WHM => Service Configuration => cPanel Web Disk Configuration
  2. Asigurați-vă că câmpul „TLS/SSL Protocols” conține „SSLv23:!SSLv2:!SSLv3”.
  3. Selectați butonul Salvare din partea de jos.

Pentru curier

Atacul POODLE solicită clientului să reîncerce conectarea de mai multe ori pentru a face downgrade la SSLv3 și, de obicei, numai browserele vor face acest lucru. Clienții de e-mail nu sunt la fel de sensibili la POODLE. Cu toate acestea, utilizatorii care doresc o securitate mai bună ar trebui să treacă la Dovecot până când facem upgrade la Courier la o versiune mai nouă.

Pentru Exim

  1. Accesați WHM => Service Configuration => Exim Configuration Manager => Editor avansat .
  2. Accesați SECȚIUNEA: Configurare în partea de sus.
  3. Căutați openssl_options.
  4. Asigurați-vă că această setare este setată la „+no_sslv2 +no_sslv3”, care este valoarea implicită cPanel.
  5. Mergeți în partea de jos a paginii și selectați butonul Salvare.

Cum îmi protejez serverul web Apache împotriva POODLE?

Pentru a dezactiva SSLv3 în Apache Web Server, va trebui să editați configurația Apache.

Pentru sistemele Debian și Ubuntu, fișierul pe care trebuie să-l modificați este /etc/apache2/mods-available/ssl.conf .

Tastați comanda: sudo nano /etc/apache2/mods-available/ssl.conf

Adăugați următoarea linie în configurația Apache cu alte directive SSL.

SSLProtocol Toate -SSLv3 -SSLv2

Pentru sistemele CentOS și Fedora, fișierul pe care trebuie să-l modificați este /etc/httpd/conf.d/ssl.conf .

Comanda: sudo nano /etc/httpd/conf.d/ssl.conf

Adăugați următoarea linie la configurația Apache cu alte directive SSL.

SSLProtocol Toate -SSLv3 -SSLv2

Salvați și închideți fișierul. Reporniți serviciul Apache pentru a vă activa modificările.

Pe sistemele Ubuntu și Debian, tastați următoarea comandă pentru a reporni serviciul Apache:

sudo service apache2 reporniți

Pe CentOS și Fedora Systems, tastați următoarea comandă pentru a reporni serviciul Apache:

sudo service httpd restart