Wie schütze ich meinen WHM-Server vor POODLE?

Veröffentlicht: 2014-10-28

WHM Server Poodle

Was ist Pudel?

„POODLE“ (Padding Oracle On Downgraded Legacy Encryption) ist ein Protokoll-Downgrade-Angriff im Design des kryptografischen Protokolls SSL Version 3.0. Dieser Fehler wurde kürzlich von Google Security Team-Forscher Bodo Möller in Zusammenarbeit mit Thai Duong und Krzysztof Kotowicz entdeckt.

Was macht PUDEL?

Bei einem Poodlebleed-Angriff können Eindringlinge eine Verbindung zum „Fallback“ auf SSL 3.0 erzwingen. Auf diese Weise kann der Angreifer auf die Klartextinformationen aus der Kommunikation zugreifen. Aufgrund des Fehlers in SSL 3.0 können Angreifer auch Cookies (kleine Datendateien, die den dauerhaften Zugriff auf einen Onlinedienst ermöglichen) stehlen. Diese kleinen Datendateien können einem Angreifer leicht Zugriff auf jede Art von webbasierten Konten gewähren. Als Sicherheits-Exploit kann es alle Webbrowser und Server betreffen und daher könnte jeder von uns anfällig sein.

Wie schütze ich Browser vor POODLE?

Überprüfen Sie zuerst, ob Sie POODLE-anfällig sind? Durchsuchen Sie einfach die SSL-Client-Test-Website von Qualys SSL Labs. Wenn Sie die Meldung „Ihr Benutzeragent ist anfällig. Sie sollten SSL 3 deaktivieren.“ , sollten Sie einige Browser bereinigen.

Die einfachste Maßnahme zum Schutz von Browsern ist die Deaktivierung der SSLv3-Unterstützung. Selbst wenn der Server SSLv3-Unterstützung bietet, wird Ihr Browser daher die Verwendung verweigern. Wenn SSL 3.0 in Ihrem Browser deaktiviert ist, kann POODLE das kryptografische Protokoll nicht herunterstufen, um es zu verwenden. Lesen Sie den folgenden Artikel zum Deaktivieren von SSL 3.0 in allen gängigen Browsern (IE, Chrome und FireFox).

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

Bitte beachten Sie, dass viele Websites immer noch SSLv3 verwenden. Wenn Sie SSL 3.0 in Ihrem Browser deaktivieren, funktionieren diese Websites möglicherweise nicht gut für Sie.

Wie schütze ich meinen WHM-Server vor POODLE?

Um Ihren Server gegen POODLE zu testen, durchsuchen Sie die folgende Seite:

https://www.ssllabs.com/ssltest/

Geben Sie eine beliebige Website ein, die auf Ihrem Server gehostet wird. Dieser Test bewertet Ihren Server auf potenzielle Sicherheitslücken und stellt Ihnen den vollständigen Sicherheitsbericht zur Verfügung.

Wenn Sie feststellen, dass Ihr WHM-Server in diesem Test anfällig ist, wird Ihnen empfohlen, die cPanel/WHM-Version auf 11.44.1.19 zu aktualisieren, um diese Anfälligkeit zu beheben.

Welche Version von cPanel/WHM verwende ich?

Um Ihre cPanel/WHM-Version zu bestimmen, melden Sie sich einfach als Root bei WHM an und suchen Sie die Version oben rechts auf der WHM-Oberfläche …..ODER

Sie können den folgenden Befehl im Terminal auslösen:

/usr/local/cpanel/cpanel -V

Um Ihren WHM-Server vor der POODLE-Schwachstelle zu schützen, hat cPanel empfohlen, die cPanel/WHM-Software auf Version 11.44.1.19 zu aktualisieren. cPanel hat Version (11.44.1.19) veröffentlicht, um SSLv3 am 22. Oktober 2014 zu deaktivieren.

Wie aktualisiere ich die cPanel/WHM-Version?

Um die cPanel/WHM-Version über das Terminal zu aktualisieren, müssen Sie nur den folgenden Befehl als Root-Benutzer ausführen:

/scripts/upcp

Wenn Sie das cPanel/WHM über das WHM Control Panel aktualisieren möchten, befolgen Sie die unten aufgeführten Schritte:

  • Melden Sie sich bei WHM an und geben Sie einfach „ Upgrade “ in das Suchfeld ein.
  • Sie sehen „Upgrade auf neueste Version“ . Klicken Sie auf diese Option
  • Wenn Sie cPanel die Protokolldateien Ihres Aktualisierungsversuchs senden möchten, klicken Sie auf das entsprechende Kontrollkästchen.

Wenn Sie diese Option deaktivieren möchten, deaktivieren Sie die Option Informationen zur Servernutzung zur Analyse an cPanel senden in der WHM-Benutzeroberfläche für Tweak-Einstellungen ( Home >> Serverkonfiguration >> Tweak -Einstellungen ).

  • Wenn Sie eine Neuinstallation der Software erzwingen möchten, aktivieren Sie das entsprechende Kontrollkästchen.
  • Klicken Sie auf Zum Aktualisieren klicken .

WHM VPS Optimized

Die neuere Version deaktiviert standardmäßig die SSLv3-Unterstützung. Damit diese Änderungen jedoch während des Aktualisierungsvorgangs wirksam werden, müssen die Dienste neu gestartet werden. Außerdem müssen Sie nach dem Upgrade Ihres Servers die folgenden Schritte ausführen, um sicherzustellen, dass SSLv3 ordnungsgemäß deaktiviert ist.

Für Apache

  1. Gehen Sie zu WHM => Service Configuration => Apache Configuration => Global Configuration .
  2. SSL/TLS Cipher Suite (die zweite Option, nicht „SSL Cipher Suite“) sollte „All -SSLv2 -SSLv3“ enthalten.
  3. Gehen Sie zum Ende der Seite und wählen Sie die Schaltfläche Speichern aus, um den Dienst neu zu starten.

Hinweis zu Mailservern

Der POODLE-Angriff erfordert, dass der Client mehrmals versucht, eine Verbindung herzustellen, um auf SSLv3 herunterzustufen, und normalerweise tun dies nur Browser. E-Mail-Clients sind nicht so anfällig für POODLE. Benutzer, die eine bessere Sicherheit wünschen, sollten jedoch zu Dovecot wechseln, bis wir Courier auf eine neuere Version aktualisieren.

Für cpsrvd

  1. Gehen Sie zu WHM => Service Configuration => cPanel Web Services Configuration
  2. Stellen Sie sicher, dass das Feld „TLS/SSL-Protokolle“ „SSLv23:!SSLv2:!SSLv3“ enthält.
  3. Wählen Sie unten die Schaltfläche Speichern .

Für cpdavd

  1. Gehen Sie zu WHM => Service Configuration => cPanel Web Disk Configuration
  2. Stellen Sie sicher, dass das Feld „TLS/SSL-Protokolle“ „SSLv23:!SSLv2:!SSLv3“ enthält.
  3. Wählen Sie unten die Schaltfläche Speichern .

Für Taubenschlag

  1. Gehen Sie zu WHM => Dienstkonfiguration => Mailserverkonfiguration
  2. SSL-Protokolle sollten „!SSLv2 !SSLv3“ enthalten. Ist dies nicht der Fall, ersetzen Sie den Text in diesem Feld.
  3. Gehen Sie zum Ende der Seite und wählen Sie die Schaltfläche Speichern aus, um den Dienst neu zu starten.

Für Kurier

Courier hat eine neue Version veröffentlicht, um dies ab dem 22.10. zu mildern. Bis wir eine Gelegenheit haben, die neue Version von Courier zu überprüfen, zu testen und zu veröffentlichen, wechseln Sie bitte für verbesserte Sicherheit zu Dovecot.

Für Exim

  1. Gehen Sie zu Home => Service Configuration => Exim Configuration Manager
  2. Suchen Sie unter „Erweiterter Editor“ nach „openssl_options“.
  3. Stellen Sie sicher, dass das Feld „+no_sslv2 +no_sslv3“ enthält.
  4. Gehen Sie zum Ende der Seite und wählen Sie die Schaltfläche Speichern aus, um den Dienst neu zu starten.

Wenn Sie außerdem bereits manuelle Konfigurationsänderungen auf Ihrem Server vorgenommen haben, um SSLv3 zu deaktivieren, müssen Sie diese Änderungen rückgängig machen.

Für Apache

  1. Gehen Sie zu WHM => Service Configuration => Apache Configuration => Include Editor => Pre Main Include .
  2. Wählen Sie eine Version oder Alle Versionen aus.
  3. Entfernen Sie die folgenden Zeilen aus dem Textfeld:

SSLHonorCipherOrder Ein
SSLProtocol +All -SSLv2 -SSLv3

  1. Klicken Sie auf die Schaltfläche Aktualisieren , um Ihre Apache-Konfiguration neu zu erstellen.

Für cpdavd

  1. Gehen Sie zu WHM => Service Configuration => cPanel Web Disk Configuration
  2. Stellen Sie sicher, dass das Feld „TLS/SSL-Protokolle“ „SSLv23:!SSLv2:!SSLv3“ enthält.
  3. Wählen Sie unten die Schaltfläche Speichern .

Für Kurier

Der POODLE-Angriff erfordert, dass der Client mehrmals versucht, eine Verbindung herzustellen, um auf SSLv3 herunterzustufen, und normalerweise tun dies nur Browser. E-Mail-Clients sind nicht so anfällig für POODLE. Benutzer, die eine bessere Sicherheit wünschen, sollten jedoch zu Dovecot wechseln, bis wir Courier auf eine neuere Version aktualisieren.

Für Exim

  1. Gehen Sie zu WHM => Service Configuration => Exim Configuration Manager => Advanced Editor .
  2. Gehen Sie oben zu SECTION: Config.
  3. Suchen Sie nach openssl_options.
  4. Stellen Sie sicher, dass diese Einstellung auf „+no_sslv2 +no_sslv3“ gesetzt ist, was der cPanel-Standard ist.
  5. Gehen Sie zum Ende der Seite und wählen Sie die Schaltfläche Speichern.

Wie sichere ich meinen Apache Webserver gegen POODLE?

Um SSLv3 in Apache Web Server zu deaktivieren, müssen Sie die Apache-Konfiguration bearbeiten.

Für die Debian- und Ubuntu-Systeme ist die Datei, die Sie ändern müssen, /etc/apache2/mods-available/ssl.conf .

Geben Sie den Befehl ein: sudo nano /etc/apache2/mods-available/ssl.conf

Fügen Sie die folgende Zeile in der Apache-Konfiguration mit anderen SSL-Anweisungen hinzu.

SSL-Protokoll Alle -SSLv3 -SSLv2

Für CentOS- und Fedora-Systeme ist die zu ändernde Datei /etc/httpd/conf.d/ssl.conf .

Befehl: sudo nano /etc/httpd/conf.d/ssl.conf

Fügen Sie der Apache-Konfiguration mit anderen SSL-Anweisungen die folgende Zeile hinzu.

SSL-Protokoll Alle -SSLv3 -SSLv2

Speichern und schließen Sie die Datei. Starten Sie den Apache-Dienst neu, um Ihre Änderungen zu aktivieren.

Geben Sie auf Ubuntu- und Debian-Systemen den folgenden Befehl ein, um den Apache-Dienst neu zu starten:

sudo-Dienst apache2 neu starten

Geben Sie auf CentOS- und Fedora-Systemen den folgenden Befehl ein, um den Apache-Dienst neu zu starten:

sudo-Dienst httpd neu starten