WHM Sunucumu POODLE'a Karşı Nasıl Korurum?

Yayınlanan: 2014-10-28

POODLE nedir?

“POODLE” (Düşürülmüş Eski Şifrelemede Doldurma Oracle), şifreleme protokolü SSL sürüm 3.0'ın tasarımında bir protokol düşürme saldırısıdır. Bu hata kısa süre önce Google Güvenlik Ekibi araştırmacısı Bodo Möller tarafından Thai Duong ve Krzysztof Kotowicz ile birlikte keşfedildi.

POODLE ne yapar?

Bir Poodlebleed saldırısında, davetsiz misafirler bağlantıyı SSL 3.0'a "geri dönüş" yapmaya zorlayabilir. Bu sayede saldırgan, iletişimden düz metin bilgisine erişebilir. SSL 3.0'daki hata nedeniyle, saldırganlar çerezleri de (çevrimiçi bir hizmete kalıcı erişim sağlayan küçük veri dosyaları) çalabilir. Bu küçük veri dosyaları, bir saldırganın her türlü Web tabanlı hesaba kolayca erişmesine izin verebilir. Bir güvenlik açığı olarak tüm web tarayıcılarını ve sunucularını etkileyebilir ve bu nedenle herhangi birimiz savunmasız olabiliriz.

Tarayıcıları POODLE'a karşı nasıl korurum?

Önce POODLE savunmasız olup olmadığınızı kontrol edin. Qualys SSL Labs'in SSL İstemci Testi web sitesine göz atın. Bir mesaj alırsanız “Kullanıcı aracınız savunmasız. SSL 3'ü devre dışı bırakmalısınız." , tarayıcılarda biraz temizlik yapmanız gerekiyor.

Tarayıcıları korumak için yapabileceğiniz en basit şey, SSLv3 desteğini devre dışı bırakmaktır. Bu nedenle, sunucu SSLv3 desteği sunsa bile, tarayıcınız bunu kullanmayı reddedecektir. Tarayıcınızda SSL 3.0 devre dışı bırakılmışsa, POODLE onu kullanmak için şifreleme protokolünü düşüremez. Tüm büyük tarayıcılarda (IE, Chrome ve FireFox) SSL 3.0 nasıl devre dışı bırakılır ile ilgili aşağıdaki makaleye bakın.

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

Lütfen birçok web sitesinin hala SSLv3 kullandığını unutmayın. Tarayıcınızdan SSL 3.0'ı devre dışı bırakırsanız, bu siteler sizin için iyi çalışmayabilir.

WHM Sunucumu POODLE'a karşı nasıl korurum?

Sunucunuzu POODLE'a karşı test etmek için aşağıdaki sayfaya göz atın:

https://www.ssllabs.com/ssltest/

Sunucunuzda barındırılan herhangi bir web sitesini girin. Bu test, sunucunuzu olası güvenlik açıklarına karşı değerlendirecek ve size tam güvenlik raporunu sağlayacaktır.

Bu testte WHM sunucunuzu güvenlik açığı bulursanız, bu güvenlik açığını gidermek için cPanel/WHM sürümünü 11.44.1.19'a yükseltmeniz önerilir.

Hangi cPanel/WHM sürümünü çalıştırıyorum?

cPanel/WHM sürümünüzü belirlemek için, WHM'ye root olarak giriş yapın ve WHM arayüzünün sağ üst köşesindeki sürümü bulun.…..OR

Terminalde aşağıdaki komutu çalıştırabilirsiniz:

/usr/local/cpanel/cpanel -V

WHM sunucunuzu POODLE güvenlik açığına karşı korumak için cPanel, cPanel/WHM yazılımını 11.44.1.19 sürümüne yükseltmenizi tavsiye etmiştir. cPanel, 22 Ekim 2014'te SSLv3'ü devre dışı bırakmak için (11.44.1.19) sürümünü yayınladı.

cPanel/WHM sürümünü nasıl yükseltirim?

cPanel/WHM sürümünü terminal üzerinden yükseltmek için aşağıdaki komutu root kullanıcısı olarak çalıştırmanız yeterlidir:

/komut dosyaları/upcp

cPanel/WHM'yi WHM Kontrol Paneli üzerinden yükseltmek istiyorsanız, aşağıda belirtilen adımları izleyin:

WHM'ye giriş yapın ve arama kutusuna " yükselt " yazın.
“En Son Sürüme Yükselt” mesajını göreceksiniz. Bu seçeneğe tıklayın
Güncelleme denemenizdeki günlük dosyalarını cPanel'e göndermek istiyorsanız, uygun onay kutusunu tıklayın.

Bu seçeneği devre dışı bırakmak isterseniz, WHM'nin Tweak Settings arayüzünde Sunucu kullanımı hakkında analiz için cPanel'e bilgi gönder seçeneğini devre dışı bırakın ( Home >> Server Configuration >> Tweak Settings ).

Yazılımın yeniden yüklenmesini zorlamak istiyorsanız, uygun onay kutusunu seçin.
Yükseltmek için Tıkla'ya tıklayın .

WHM VPS Optimized

Daha yeni sürüm, varsayılan olarak SSLv3 desteğini devre dışı bırakacaktır. Ancak bu değişikliklerin güncelleme sürecinde geçerli olabilmesi için hizmetlerin yeniden başlatılması gerekir. Ayrıca, sunucunuzu yükselttiğinizde, SSLv3'ün düzgün şekilde devre dışı bırakıldığından emin olmak için aşağıdaki adımları izlemeniz gerekecektir.

Apache için

WHM => Servis Konfigürasyonu => Apache Konfigürasyonu => Global Konfigürasyon bölümüne gidin.
SSL/TLS Cipher Suite (“SSL Cipher Suite” değil, ikinci seçenek) “All -SSLv2 -SSLv3” içermelidir.
Sayfanın en altına gidin ve hizmeti yeniden başlatmak için Kaydet düğmesini seçin.

Posta Sunucuları hakkında not

POODLE saldırısı, istemcinin SSLv3'e düşürmek için birkaç kez bağlanmayı yeniden denemesini gerektirir ve genellikle bunu yalnızca tarayıcılar yapar. Posta İstemcileri, POODLE'a karşı hassas değildir. Ancak, daha iyi güvenlik isteyen kullanıcılar, biz Courier'i daha yeni bir sürüme yükseltene kadar Dovecot'a geçmelidir.

cpsrvd için

WHM => Hizmet Yapılandırması => cPanel Web Hizmetleri Yapılandırmasına gidin
“TLS/SSL Protokolleri” alanının “SSLv23:!SSLv2:!SSLv3” içerdiğinden emin olun.
En alttaki Kaydet düğmesini seçin.

cpdavd için

WHM => Hizmet Yapılandırması => cPanel Web Disk Yapılandırmasına gidin
“TLS/SSL Protokolleri” alanının “SSLv23:!SSLv2:!SSLv3” içerdiğinden emin olun.
En alttaki Kaydet düğmesini seçin.

Güvercinlik için

WHM => Hizmet Yapılandırması => Posta Sunucusu Yapılandırmasına gidin
SSL Protokolleri “!SSLv2 !SSLv3” içermelidir. Değilse, bu alandaki metni değiştirin.
Sayfanın en altına gidin ve hizmeti yeniden başlatmak için Kaydet düğmesini seçin.

Kurye için

Courier, bir fırsat incelemesi yapana, test edene ve Courier'in yeni sürümünü yayınlayana kadar 22/10'dan itibaren bunu azaltmak için yeni bir sürüm yayınladı. Gelişmiş güvenlik için lütfen Dovecot'a geçin.

Exim için

Ana Sayfaya Git => Servis Konfigürasyonu => Exim Konfigürasyon Yöneticisi
Gelişmiş Düzenleyici altında 'openssl_options'ı arayın.
Alanın “+no_sslv2 +no_sslv3” içerdiğinden emin olun.
Sayfanın en altına gidin ve hizmeti yeniden başlatmak için Kaydet düğmesini seçin.

Ek olarak, SSLv3'ü devre dışı bırakmak için sunucunuzda zaten manuel yapılandırma değişiklikleri yaptıysanız, bu değişiklikleri geri almanız gerekir.

Apache için

WHM => Servis Konfigürasyonu => Apache Konfigürasyonu => Editör Dahil Et => Pre Main Include seçeneğine gidin.
Bir sürüm veya Tüm Sürümler seçin.
Metin kutusundan aşağıdaki satırları kaldırın:

SSLHonorCipherSipariş Açık
SSLProtocol +Tümü -SSLv2 -SSLv3

Apache yapılandırmanızı yeniden oluşturmak için Güncelle düğmesine basın.

cpdavd için

WHM => Hizmet Yapılandırması => cPanel Web Disk Yapılandırmasına gidin
“TLS/SSL Protokolleri” alanının “SSLv23:!SSLv2:!SSLv3” içerdiğinden emin olun.
En alttaki Kaydet düğmesini seçin.

Kurye için

Exim için

WHM => Service Configuration => Exim Configuration Manager => Advanced Editor seçeneğine gidin.
BÖLÜM: Üstteki Yapılandırma'ya gidin.
openssl_options'ı arayın.
Bu ayarın cPanel Varsayılanı olan “+no_sslv2 +no_sslv3” olarak ayarlandığından emin olun.
Sayfanın en altına gidin ve Kaydet düğmesini seçin.

Apache Web Sunucumu POODLE'a karşı nasıl güvenli hale getirebilirim?

Apache Web Sunucusunda SSLv3'ü devre dışı bırakmak için Apache yapılandırmasını düzenlemeniz gerekecektir.

Debian ve Ubuntu Sistemleri için değiştirmeniz gereken dosya /etc/apache2/mods-available/ssl.conf .

Komut yazın: sudo nano /etc/apache2/mods-available/ssl.conf

Diğer SSL yönergeleriyle birlikte Apache yapılandırmasına aşağıdaki satırı ekleyin.

SSLProtocol Tümü -SSLv3 -SSLv2

CentOS ve Fedora Sistemleri için değiştirmeniz gereken dosya /etc/httpd/conf.d/ssl.conf .

Komut: sudo nano /etc/httpd/conf.d/ssl.conf

Diğer SSL yönergeleriyle Apache yapılandırmasına aşağıdaki satırı ekleyin.

SSLProtocol Tümü -SSLv3 -SSLv2

Dosyayı Kaydedin ve Kapatın. Değişikliklerinizi etkinleştirmek için Apache hizmetini yeniden başlatın.

Ubuntu ve Debian sistemlerinde Apache hizmetini yeniden başlatmak için aşağıdaki komutu yazın:

sudo hizmeti apache2 yeniden başlatma

CentOS ve Fedora Sistemlerinde Apache hizmetini yeniden başlatmak için aşağıdaki komutu yazın:

sudo hizmeti httpd yeniden başlatma