كيف يمكنني حماية خادم WHM الخاص بي ضد POODLE؟

نشرت: 2014-10-28

WHM Server Poodle

ما هو POODLE؟

"POODLE" (Padding Oracle On Downgraded Legacy Encryption) هو هجوم الرجوع إلى إصدار أقدم من البروتوكول في تصميم بروتوكول التشفير SSL الإصدار 3.0. تم اكتشاف هذا الخطأ مؤخرًا بواسطة الباحث في فريق أمان Google Bodo Möller بالتعاون مع Thai Duong و Krzysztof Kotowicz.

ماذا تفعل POODLE؟

في هجوم Poodlebleed ، يمكن للمتطفلين فرض اتصال "احتياطي" بـ SSL 3.0. بهذه الطريقة ، يمكن للمهاجم الوصول إلى معلومات النص العادي من الاتصال. نظرًا للخلل الموجود في SSL 3.0 ، يمكن للمهاجمين أيضًا سرقة ملفات تعريف الارتباط (ملفات البيانات الصغيرة التي تتيح الوصول المستمر إلى خدمة عبر الإنترنت). يمكن لملفات البيانات الصغيرة هذه أن تسمح بسهولة للمهاجمين بالوصول إلى أي نوع من الحسابات المستندة إلى الويب. باعتباره استغلالًا أمنيًا ، يمكن أن يؤثر على جميع متصفحات الويب والخوادم ، وبالتالي قد يكون أي واحد منا عرضة للخطر.

كيف أحمي المتصفحات من POODLE؟

تحقق أولاً مما إذا كنت معرضًا لحركة POODLE؟ ما عليك سوى تصفح موقع اختبار عميل SSL الخاص بـ Qualys SSL Labs. إذا تلقيت رسالة "وكيل المستخدم الخاص بك ضعيف. يجب عليك تعطيل SSL 3. ” ، من المفترض أن تقوم ببعض التنظيف في المتصفحات.

أبسط شيء يمكنك القيام به لحماية المتصفحات هو تعطيل دعم SSLv3. لذلك ، حتى إذا كان الخادم يقدم دعم SSLv3 ، فسيرفض متصفحك استخدامه. إذا تم تعطيل SSL 3.0 على المستعرض الخاص بك ، فلن يتمكن POODLE من الرجوع إلى إصدار أقدم من بروتوكول التشفير لاستخدامه. راجع المقالة التالية حول كيفية تعطيل SSL 3.0 في جميع المتصفحات الرئيسية (IE و Chrome و FireFox)

https://www.digicert.com/ssl-support/dislying-browser-support-ssl-v3.htm

يرجى ملاحظة أن الكثير من مواقع الويب لا تزال تستخدم SSLv3. إذا قمت بتعطيل SSL 3.0 من متصفحك ، فقد لا تعمل هذه المواقع بشكل جيد بالنسبة لك.

كيف أحمي خادم WHM الخاص بي من POODLE؟

لاختبار خادمك مقابل POODLE ، تصفح الصفحة التالية:

https://www.ssllabs.com/ssltest/

أدخل أي موقع مستضاف على الخادم الخاص بك. سيقيم هذا الاختبار الخادم الخاص بك ضد الثغرات الأمنية المحتملة ويزودك بتقرير الأمان الكامل.

إذا وجدت أن خادم WHM الخاص بك ضعيف في هذا الاختبار ، فمن المستحسن ترقية إصدار cPanel / WHM إلى 11.44.1.19 لمعالجة هذه الثغرة الأمنية.

ما هو إصدار cPanel / WHM الذي أستخدمه؟

لتحديد إصدار cPanel / WHM الخاص بك ، ما عليك سوى تسجيل الدخول إلى WHM كجذر وتحديد موقع الإصدار في أعلى يمين واجهة WHM.… .. أو

يمكنك تشغيل الأمر التالي في المحطة:

/ usr / local / cpanel / cpanel -V

من أجل حماية خادم WHM الخاص بك من ثغرة POODLE ، أوصت cPanel بترقية برنامج cPanel / WHM إلى الإصدار 11.44.1.19. أصدرت cPanel الإصدار (11.44.1.19) لتعطيل SSLv3 في 22 أكتوبر 2014.

كيف أقوم بترقية إصدار cPanel / WHM؟

لترقية إصدار cPanel / WHM من خلال Terminal ، تحتاج فقط إلى تشغيل الأمر التالي كمستخدم جذر:

/ scripts / upcp

إذا كنت ترغب في ترقية cPanel / WHM من خلال لوحة تحكم WHM ، فاتبع الخطوات المذكورة أدناه:

  • قم بتسجيل الدخول إلى WHM واكتب فقط " ترقية " في مربع البحث.
  • سترى "الترقية إلى أحدث إصدار" . انقر فوق هذا الخيار
  • إذا كنت ترغب في إرسال ملفات السجل من محاولة التحديث الخاصة بـ cPanel ، فانقر فوق مربع الاختيار المناسب.

إذا كنت ترغب في تعطيل هذا الخيار ، فقم بتعطيل خيار إرسال معلومات حول استخدام الخادم إلى cPanel للتحليل في واجهة إعدادات Tweak الخاصة بـ WHM ( الصفحة الرئيسية >> تكوين الخادم >> إعدادات القرص ).

  • إذا كنت ترغب في فرض إعادة تثبيت البرنامج ، فحدد مربع الاختيار المناسب.
  • انقر فوق انقر للترقية .

WHM VPS Optimized

سيعطل الإصدار الأحدث دعم SSLv3 افتراضيًا. ومع ذلك ، لكي تدخل هذه التغييرات حيز التنفيذ خلال عملية التحديث ، يجب إعادة تشغيل الخدمات. أيضًا ، بمجرد ترقية الخادم الخاص بك ، ستحتاج إلى اتباع الخطوات التالية للتأكد من تعطيل SSLv3 بشكل صحيح.

لأباتشي

  1. انتقل إلى WHM => تكوين الخدمة => تكوين Apache => التكوين العام .
  2. يجب أن تحتوي مجموعة تشفير SSL / TLS (الخيار الثاني ، وليس "مجموعة تشفير SSL") على "All -SSLv2 -SSLv3".
  3. انتقل إلى أسفل الصفحة وحدد زر حفظ لإعادة تشغيل الخدمة.

ملاحظة حول خوادم البريد

يتطلب هجوم POODLE من العميل إعادة محاولة الاتصال عدة مرات من أجل الرجوع إلى إصدار أقدم من SSLv3 ، وعادة ما تقوم المتصفحات فقط بهذا. عملاء البريد ليسوا عرضة لـ POODLE. ومع ذلك ، يجب على المستخدمين الذين يريدون أمانًا أفضل التبديل إلى Dovecot حتى نقوم بترقية Courier إلى إصدار أحدث.

ل cpsrvd

  1. انتقل إلى WHM => تكوين الخدمة => تكوين خدمات الويب cPanel
  2. تأكد من أن الحقل "بروتوكولات TLS / SSL" يحتوي على "SSLv23:! SSLv2:! SSLv3".
  3. حدد زر حفظ في الأسفل.

بالنسبة لـ cpdavd

  1. انتقل إلى WHM => تكوين الخدمة => تكوين قرص ويب cPanel
  2. تأكد من أن الحقل "بروتوكولات TLS / SSL" يحتوي على "SSLv23:! SSLv2:! SSLv3".
  3. حدد زر حفظ في الأسفل.

من أجل Dovecot

  1. انتقل إلى WHM => تكوين الخدمة => تكوين خادم البريد
  2. يجب أن تحتوي بروتوكولات SSL على “! SSLv2! SSLv3”. إذا لم يحدث ذلك ، فاستبدل النص في هذا الحقل.
  3. انتقل إلى أسفل الصفحة وحدد زر حفظ لإعادة تشغيل الخدمة.

للبريد السريع

أصدرت Courier إصدارًا جديدًا للتخفيف من ذلك اعتبارًا من 10/22 ، حتى نتمكن من مراجعة الإصدار الجديد من Courier واختباره ونشره ، يرجى التبديل إلى Dovecot لتحسين الأمان.

بالنسبة إلى Exim

  1. انتقل إلى الصفحة الرئيسية => تكوين الخدمة => مدير تكوين Exim
  2. ضمن المحرر المتقدم ، ابحث عن "openssl_options".
  3. تأكد من احتواء الحقل على "+ no_sslv2 + no_sslv3".
  4. انتقل إلى أسفل الصفحة وحدد زر حفظ لإعادة تشغيل الخدمة.

بالإضافة إلى ذلك ، إذا كنت قد أجريت بالفعل تغييرات تكوين يدوية على الخادم الخاص بك لتعطيل SSLv3 ، فستحتاج إلى التراجع عن هذه التغييرات.

لأباتشي

  1. انتقل إلى WHM => تكوين الخدمة => تكوين Apache => تضمين محرر => تضمين رئيسي مسبق .
  2. حدد إصدارًا أو كل الإصدارات.
  3. قم بإزالة الأسطر التالية من مربع النص:

SSLHonorCipherOrder قيد التشغيل
بروتوكول SSL + الكل -SSLv2 -SSLv3

  1. اضغط على زر التحديث لإعادة بناء تكوين Apache الخاص بك.

بالنسبة لـ cpdavd

  1. انتقل إلى WHM => تكوين الخدمة => تكوين قرص ويب cPanel
  2. تأكد من أن الحقل "بروتوكولات TLS / SSL" يحتوي على "SSLv23:! SSLv2:! SSLv3".
  3. حدد زر حفظ في الأسفل.

للبريد السريع

يتطلب هجوم POODLE من العميل إعادة محاولة الاتصال عدة مرات من أجل الرجوع إلى إصدار أقدم من SSLv3 ، وعادة ما تقوم المتصفحات فقط بهذا. عملاء البريد ليسوا عرضة لـ POODLE. ومع ذلك ، يجب على المستخدمين الذين يريدون أمانًا أفضل التبديل إلى Dovecot حتى نقوم بترقية Courier إلى إصدار أحدث.

بالنسبة إلى Exim

  1. انتقل إلى WHM => تكوين الخدمة => مدير تكوين Exim => محرر متقدم .
  2. انتقل إلى القسم: التكوين في الأعلى.
  3. ابحث عن opensl_options.
  4. تأكد من ضبط هذا الإعداد على "+ no_sslv2 + no_sslv3" وهو cPanel Default.
  5. انتقل إلى أسفل الصفحة ، وحدد زر حفظ.

كيف أقوم بتأمين خادم الويب Apache الخاص بي ضد POODLE؟

لتعطيل SSLv3 في خادم الويب Apache ، ستحتاج إلى تعديل تكوين Apache.

بالنسبة إلى أنظمة Debian و Ubuntu ، الملف الذي تحتاج إلى تعديله هو /etc/apache2/mods-available/ssl.conf .

اكتب الأمر: sudo nano /etc/apache2/mods-available/ssl.conf

أضف السطر التالي في تكوين Apache مع توجيهات SSL الأخرى.

SSLProtocol All -SSLv3 -SSLv2

بالنسبة لأنظمة CentOS و Fedora ، الملف الذي تحتاج إلى تعديله هو /etc/httpd/conf.d/ssl.conf .

الأمر: sudo nano /etc/httpd/conf.d/ssl.conf

أضف السطر التالي إلى تكوين Apache مع توجيهات SSL الأخرى.

SSLProtocol All -SSLv3 -SSLv2

أحفظ وأغلق الملف. أعد تشغيل خدمة Apache لتمكين تغييراتك.

في نظامي Ubuntu و Debian ، اكتب الأمر التالي لإعادة تشغيل خدمة Apache:

إعادة تشغيل sudo خدمة apache2

في CentOS و Fedora Systems ، اكتب الأمر التالي لإعادة تشغيل خدمة Apache:

إعادة تشغيل خدمة sudo httpd