如何保护我的 WHM 服务器免受 POODLE 的侵害?

已发表: 2014-10-28

WHM Server Poodle

什么是贵宾犬?

“POODLE”(Padding Oracle On Downgraded Legacy Encryption)是加密协议 SSL 3.0 版设计中的协议降级攻击。 该漏洞最近由 Google 安全团队研究员 Bodo Möller 与 Thai Duong 和 Krzysztof Kotowicz 合作发现。

贵宾犬是做什么的?

在 Poodlebleed 攻击中,入侵者可以强制连接“回退”到 SSL 3.0。 这样,攻击者就可以从通信中获取明文信息。 由于 SSL 3.0 中的错误,攻击者还可以窃取 cookie(能够持久访问在线服务的小数据文件)。 这些小数据文件很容易让攻击者访问任何类型的基于 Web 的帐户。 作为一种安全漏洞,它可以影响所有 Web 浏览器和服务器,因此我们中的任何一个人都可能容易受到攻击。

如何保护浏览器免受 POODLE 的侵害?

首先检查您是否易受 POODLE 攻击? 只需浏览 Qualys SSL Labs 的 SSL 客户端测试网站。 如果您收到一条消息“您的用户代理易受攻击。 您应该禁用 SSL 3。” ,您应该在浏览器中进行一些清理。

保护浏览器最简单的方法就是禁用 SSLv3 支持。 因此,即使服务器确实提供 SSLv3 支持,您的浏览器也会拒绝使用它。 如果您的浏览器禁用 SSL 3.0,POODLE 无法降级加密协议以使用它。 请参阅以下有关如何在所有主要浏览器(IE、Chrome 和 FireFox)中禁用 SSL 3.0 的文章

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

请注意,许多网站仍在使用 SSLv3。 如果您从浏览器中禁用 SSL 3.0,这些网站可能不适合您。

如何保护我的 WHM 服务器免受 POODLE 的侵害?

要针对 POODLE 测试您的服务器,请浏览以下页面:

https://www.ssllabs.com/ssltest/

输入托管在您的服务器上的任何网站。 该测试将针对潜在的安全漏洞评估您的服务器,并为您提供完整的安全报告。

如果您在本次测试中发现您的 WHM 服务器存在漏洞,建议您将 cPanel/WHM 版本升级到 11.44.1.19 以解决此漏洞。

我正在运行什么版本的 cPanel/WHM?

要确定您的 cPanel/WHM 版本,只需以 root 身份登录 WHM,然后在 WHM 界面的右上角找到该版本……或

您可以在终端中触发以下命令:

/usr/local/cpanel/cpanel -V

为了保护您的 WHM 服务器免受 POODLE 漏洞的影响,cPanel 建议将 cPanel/WHM 软件升级到版本 11.44.1.19。 cPanel 已于 2014 年 10 月 22 日发布版本 (11.44.1.19) 以禁用 SSLv3。

如何升级 cPanel/WHM 版本?

为了通过终端升级 cPanel/WHM 版本,您只需要以 root 用户身份运行以下命令:

/脚本/upcp

如果您想通过 WHM 控制面板升级 cPanel/WHM,请按照以下步骤操作:

  • 登录 WHM 并在搜索框中输入“升级”。
  • 您将看到“升级到最新版本” 。 点击这个选项
  • 如果您希望通过更新尝试向 cPanel 发送日志文件,请单击相应的复选框。

如果您希望禁用此选项,请在 WHM 的 Tweak Settings 界面(主页>>服务器配置>> Tweak Settings )中禁用将有关服务器使用情况的信息发送到 cPanel 进行分析选项。

  • 如果您希望强制重新安装软件,请选中相应的复选框。
  • 单击单击以升级

WHM VPS Optimized

默认情况下,较新版本将禁用 SSLv3 支持。 但是,为了使这些更改在更新过程中生效,必须重新启动服务。 此外,升级服务器后,您需要按照以下步骤确保正确禁用 SSLv3。

对于阿帕奇

  1. 转到WHM =>服务配置=> Apache 配置=>全局配置
  2. SSL/TLS Cipher Suite(第二个选项,不是“SSL Cipher Suite”)应包含“All -SSLv2 -SSLv3”。
  3. 转到页面底部,然后选择保存按钮以重新启动服务。

关于邮件服务器的注意事项

POODLE 攻击需要客户端多次重试连接才能降级到 SSLv3,通常只有浏览器会这样做。 邮件客户端不太容易受到 POODLE 的影响。 但是,想要更好的安全性的用户应该切换到 Dovecot,直到我们将 Courier 升级到更新版本。

对于 cpsrvd

  1. 转到WHM =>服务配置=> cPanel Web 服务配置
  2. 确保“TLS/SSL 协议”字段包含“SSLv23:!SSLv2:!SSLv3”。
  3. 选择底部的保存按钮。

对于 cpdavd

  1. 转到WHM =>服务配置=> cPanel Web 磁盘配置
  2. 确保“TLS/SSL 协议”字段包含“SSLv23:!SSLv2:!SSLv3”。
  3. 选择底部的保存按钮。

对于鸽舍

  1. 转到WHM =>服务配置=>邮件服务器配置
  2. SSL 协议应包含“!SSLv2 !SSLv3”。 如果不是,请替换此字段中的文本。
  3. 转到页面底部,然后选择保存按钮以重新启动服务。

快递

Courier 已于 10 月 22 日发布了一个新版本来缓解此问题,在我们有机会审查、测试和发布 Courier 的新版本之前,请切换到 Dovecot 以增强安全性。

进出口

  1. 转到主页=>服务配置=> Exim 配置管理器
  2. 在高级编辑器下,查找“openssl_options”。
  3. 确保该字段包含“+no_sslv2 +no_sslv3”。
  4. 转到页面底部,然后选择保存按钮以重新启动服务。

此外,如果您已在服务器上执行手动配置更改以禁用 SSLv3,则需要恢复这些更改。

对于阿帕奇

  1. 转到WHM => Service Configuration => Apache Configuration => Include Editor => Pre Main Include
  2. 选择一个版本或所有版本。
  3. 从文本框中删除以下行:

SSLHonorCipherOrder On
SSLProtocol +All -SSLv2 -SSLv3

  1. 更新按钮重建您的 Apache 配置。

对于 cpdavd

  1. 转到WHM =>服务配置=> cPanel Web 磁盘配置
  2. 确保“TLS/SSL 协议”字段包含“SSLv23:!SSLv2:!SSLv3”。
  3. 选择底部的保存按钮。

快递

POODLE 攻击需要客户端多次重试连接才能降级到 SSLv3,通常只有浏览器会这样做。 邮件客户端不太容易受到 POODLE 的影响。 但是,想要更好的安全性的用户应该切换到 Dovecot,直到我们将 Courier 升级到更新版本。

进出口

  1. 转到WHM =>服务配置=> Exim 配置管理器=>高级编辑器
  2. 转到部分:顶部的配置。
  3. 搜索 openssl_options。
  4. 确保此设置设置为“+no_sslv2 +no_sslv3”,这是 cPanel 默认值。
  5. 转到页面底部,然后选择保存按钮。

如何保护我的 Apache Web 服务器免受 POODLE 攻击?

为了在 Apache Web 服务器中禁用 SSLv3,您需要编辑 Apache 配置。

对于 Debian 和 Ubuntu 系统,您需要修改的文件是/etc/apache2/mods-available/ssl.conf

输入命令: sudo nano /etc/apache2/mods-available/ssl.conf

在 Apache 配置中添加以下行以及其他 SSL 指令。

SSLProtocol All -SSLv3 -SSLv2

对于 CentOS 和 Fedora 系统,您需要修改的文件是/etc/httpd/conf.d/ssl.conf

命令: sudo nano /etc/httpd/conf.d/ssl.conf

将以下行添加到具有其他 SSL 指令的 Apache 配置中。

SSLProtocol All -SSLv3 -SSLv2

保存并关闭文件。 重新启动 Apache 服务以启用您的更改。

在 Ubuntu 和 Debian 系统上,键入以下命令以重新启动 Apache 服务:

sudo 服务 apache2 重启

在 CentOS 和 Fedora 系统上键入以下命令以重新启动 Apache 服务:

sudo 服务 httpd 重启