如何保護我的 WHM 服務器免受 POODLE 的侵害?

已發表: 2014-10-28

WHM Server Poodle

什麼是貴賓犬?

“POODLE”(Padding Oracle On Downgraded Legacy Encryption)是加密協議 SSL 3.0 版設計中的協議降級攻擊。 該漏洞最近由 Google 安全團隊研究員 Bodo Möller 與 Thai Duong 和 Krzysztof Kotowicz 合作發現。

貴賓犬是做什麼的?

在 Poodlebleed 攻擊中,入侵者可以強制連接“回退”到 SSL 3.0。 這樣,攻擊者就可以從通信中獲取明文信息。 由於 SSL 3.0 中的錯誤,攻擊者還可以竊取 cookie(能夠持久訪問在線服務的小數據文件)。 這些小數據文件很容易讓攻擊者訪問任何類型的基於 Web 的帳戶。 作為一種安全漏洞,它可以影響所有 Web 瀏覽器和服務器,因此我們中的任何一個人都可能容易受到攻擊。

如何保護瀏覽器免受 POODLE 的侵害?

首先檢查您是否易受 POODLE 攻擊? 只需瀏覽 Qualys SSL Labs 的 SSL 客戶端測試網站。 如果您收到一條消息“您的用戶代理易受攻擊。 您應該禁用 SSL 3。” ,您應該在瀏覽器中進行一些清理。

保護瀏覽器最簡單的方法就是禁用 SSLv3 支持。 因此,即使服務器確實提供 SSLv3 支持,您的瀏覽器也會拒絕使用它。 如果您的瀏覽器禁用 SSL 3.0,POODLE 無法降級加密協議以使用它。 請參閱以下有關如何在所有主要瀏覽器(IE、Chrome 和 FireFox)中禁用 SSL 3.0 的文章

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

請注意,許多網站仍在使用 SSLv3。 如果您從瀏覽器中禁用 SSL 3.0,這些網站可能不適合您。

如何保護我的 WHM 服務器免受 POODLE 的侵害?

要針對 POODLE 測試您的服務器,請瀏覽以下頁面:

https://www.ssllabs.com/ssltest/

輸入託管在您的服務器上的任何網站。 該測試將針對潛在的安全漏洞評估您的服務器,並為您提供完整的安全報告。

如果您在本次測試中發現您的 WHM 服務器存在漏洞,建議您將 cPanel/WHM 版本升級到 11.44.1.19 以解決此漏洞。

我正在運行什麼版本的 cPanel/WHM?

要確定您的 cPanel/WHM 版本,只需以 root 身份登錄 WHM,然後在 WHM 界面的右上角找到該版本……或

您可以在終端中觸發以下命令:

/usr/local/cpanel/cpanel -V

為了保護您的 WHM 服務器免受 POODLE 漏洞的影響,cPanel 建議將 cPanel/WHM 軟件升級到版本 11.44.1.19。 cPanel 已於 2014 年 10 月 22 日發布版本 (11.44.1.19) 以禁用 SSLv3。

如何升級 cPanel/WHM 版本?

為了通過終端升級 cPanel/WHM 版本,您只需要以 root 用戶身份運行以下命令:

/腳本/upcp

如果您想通過 WHM 控制面板升級 cPanel/WHM,請按照以下步驟操作:

  • 登錄 WHM 並在搜索框中輸入“升級”。
  • 您將看到“升級到最新版本” 。 點擊這個選項
  • 如果您希望通過更新嘗試向 cPanel 發送日誌文件,請單擊相應的複選框。

如果您希望禁用此選項,請在 WHM 的 Tweak Settings 界面(主頁>>服務器配置>> Tweak Settings )中禁用將有關服務器使用情況的信息發送到 cPanel 進行分析選項。

  • 如果您希望強制重新安裝軟件,請選中相應的複選框。
  • 單擊單擊以升級

WHM VPS Optimized

默認情況下,較新版本將禁用 SSLv3 支持。 但是,為了使這些更改在更新過程中生效,必須重新啟動服務。 此外,升級服務器後,您需要按照以下步驟確保正確禁用 SSLv3。

對於阿帕奇

  1. 轉到WHM =>服務配置=> Apache 配置=>全局配置
  2. SSL/TLS Cipher Suite(第二個選項,不是“SSL Cipher Suite”)應包含“All -SSLv2 -SSLv3”。
  3. 轉到頁面底部,然後選擇保存按鈕以重新啟動服務。

關於郵件服務器的注意事項

POODLE 攻擊需要客戶端多次重試連接才能降級到 SSLv3,通常只有瀏覽器會這樣做。 郵件客戶端不太容易受到 POODLE 的影響。 但是,想要更好的安全性的用戶應該切換到 Dovecot,直到我們將 Courier 升級到更新版本。

對於 cpsrvd

  1. 轉到WHM =>服務配置=> cPanel Web 服務配置
  2. 確保“TLS/SSL 協議”字段包含“SSLv23:!SSLv2:!SSLv3”。
  3. 選擇底部的保存按鈕。

對於 cpdavd

  1. 轉到WHM =>服務配置=> cPanel Web 磁盤配置
  2. 確保“TLS/SSL 協議”字段包含“SSLv23:!SSLv2:!SSLv3”。
  3. 選擇底部的保存按鈕。

對於鴿舍

  1. 轉到WHM =>服務配置=>郵件服務器配置
  2. SSL 協議應包含“!SSLv2 !SSLv3”。 如果不是,請替換此字段中的文本。
  3. 轉到頁面底部,然後選擇保存按鈕以重新啟動服務。

快遞

Courier 已於 10 月 22 日發布了一個新版本來緩解此問題,在我們有機會審查、測試和發布 Courier 的新版本之前,請切換到 Dovecot 以增強安全性。

進出口

  1. 轉到主頁=>服務配置=> Exim 配置管理器
  2. 在高級編輯器下,查找“openssl_options”。
  3. 確保該字段包含“+no_sslv2 +no_sslv3”。
  4. 轉到頁面底部,然後選擇保存按鈕以重新啟動服務。

此外,如果您已在服務器上執行手動配置更改以禁用 SSLv3,則需要恢復這些更改。

對於阿帕奇

  1. 轉到WHM => Service Configuration => Apache Configuration => Include Editor => Pre Main Include
  2. 選擇一個版本或所有版本。
  3. 從文本框中刪除以下行:

SSLHonorCipherOrder On
SSLProtocol +All -SSLv2 -SSLv3

  1. 更新按鈕重建您的 Apache 配置。

對於 cpdavd

  1. 轉到WHM =>服務配置=> cPanel Web 磁盤配置
  2. 確保“TLS/SSL 協議”字段包含“SSLv23:!SSLv2:!SSLv3”。
  3. 選擇底部的保存按鈕。

快遞

POODLE 攻擊需要客戶端多次重試連接才能降級到 SSLv3,通常只有瀏覽器會這樣做。 郵件客戶端不太容易受到 POODLE 的影響。 但是,想要更好的安全性的用戶應該切換到 Dovecot,直到我們將 Courier 升級到更新版本。

進出口

  1. 轉到WHM =>服務配置=> Exim 配置管理器=>高級編輯器
  2. 轉到部分:頂部的配置。
  3. 搜索 openssl_options。
  4. 確保此設置設置為“+no_sslv2 +no_sslv3”,這是 cPanel 默認值。
  5. 轉到頁面底部,然後選擇保存按鈕。

如何保護我的 Apache Web 服務器免受 POODLE 攻擊?

為了在 Apache Web 服務器中禁用 SSLv3,您需要編輯 Apache 配置。

對於 Debian 和 Ubuntu 系統,您需要修改的文件是/etc/apache2/mods-available/ssl.conf

輸入命令: sudo nano /etc/apache2/mods-available/ssl.conf

在 Apache 配置中添加以下行以及其他 SSL 指令。

SSLProtocol All -SSLv3 -SSLv2

對於 CentOS 和 Fedora 系統,您需要修改的文件是/etc/httpd/conf.d/ssl.conf

命令: sudo nano /etc/httpd/conf.d/ssl.conf

將以下行添加到具有其他 SSL 指令的 Apache 配置中。

SSLProtocol All -SSLv3 -SSLv2

保存並關閉文件。 重新啟動 Apache 服務以啟用您的更改。

在 Ubuntu 和 Debian 系統上,鍵入以下命令以重新啟動 Apache 服務:

sudo 服務 apache2 重啟

在 CentOS 和 Fedora 系統上鍵入以下命令以重新啟動 Apache 服務:

sudo 服務 httpd 重啟