Bagaimana Saya Melindungi Server WHM Saya Terhadap POODLE?

Diterbitkan: 2014-10-28

Apa itu POODLE?

"POODLE" (Padding Oracle On Downgraded Legacy Encryption) adalah serangan downgrade protokol dalam desain protokol kriptografi SSL versi 3.0. Bug ini baru-baru ini ditemukan oleh peneliti Tim Keamanan Google Bodo Möller bekerja sama dengan Thai Duong dan Krzysztof Kotowicz.

Apa yang dilakukan POODLE?

Dalam serangan Poodlebleed, penyusup dapat memaksa koneksi ke “fallback” ke SSL 3.0. Dengan cara ini, penyerang dapat mengakses informasi teks biasa dari komunikasi. Karena bug di SSL 3.0, penyerang juga dapat mencuri cookie (file data kecil yang memungkinkan akses terus-menerus ke layanan online). File data kecil ini dapat dengan mudah memungkinkan penyerang mengakses semua jenis akun berbasis Web. Sebagai eksploitasi keamanan, ini dapat memengaruhi semua browser dan server web dan oleh karena itu salah satu dari kita dapat menjadi rentan.

Bagaimana cara melindungi Peramban dari POODLE?

Pertama periksa apakah Anda rentan terhadap POODLE? Cukup telusuri situs web Uji Klien SSL Qualys SSL Labs. Jika Anda mendapatkan pesan “Agen pengguna Anda rentan. Anda harus menonaktifkan SSL 3.” , Anda seharusnya melakukan pembersihan di browser.

Hal paling sederhana yang dapat Anda lakukan untuk melindungi browser adalah menonaktifkan dukungan SSLv3. Oleh karena itu, bahkan jika server memang menawarkan dukungan SSLv3, browser Anda akan menolak untuk menggunakannya. Jika SSL 3.0 dinonaktifkan pada browser Anda, POODLE tidak dapat menurunkan versi protokol kriptografi untuk menggunakannya. Lihat artikel berikut tentang Cara menonaktifkan SSL 3.0 di semua browser utama (IE, Chrome, dan FireFox)

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

Harap perhatikan bahwa banyak situs web yang masih menggunakan SSLv3. Jika Anda menonaktifkan SSL 3.0 dari browser Anda, situs tersebut mungkin tidak berfungsi dengan baik untuk Anda.

Bagaimana cara melindungi Server WHM saya dari POODLE?

Untuk menguji server Anda terhadap POODLE, jelajahi halaman berikut:

https://www.ssllabs.com/ssltest/

Masukkan situs web apa pun yang dihosting di server Anda. Tes ini akan menilai server Anda terhadap potensi kerentanan keamanan dan memberi Anda laporan keamanan lengkap.

Jika Anda menemukan server WHM Anda rentan dalam pengujian ini, Anda disarankan untuk meningkatkan versi cPanel/WHM ke 11.44.1.19 untuk mengatasi kerentanan ini.

Versi cPanel/WHM apa yang saya jalankan?

Untuk menentukan versi cPanel/WHM Anda, cukup login ke WHM sebagai root dan cari versi di kanan atas antarmuka WHM…..ATAU

Anda dapat menjalankan perintah berikut di terminal:

/usr/local/cpanel/cpanel -V

Untuk melindungi server WHM Anda dari kerentanan POODLE, cPanel merekomendasikan untuk mengupgrade perangkat lunak cPanel/WHM ke versi 11.44.1.19. cPanel telah merilis versi (11.44.1.19) untuk menonaktifkan SSLv3 pada 22 Oktober 2014 .

Bagaimana cara mengupgrade versi cPanel/WHM?

Untuk memutakhirkan versi cPanel/WHM melalui terminal, Anda hanya perlu menjalankan perintah berikut sebagai pengguna root:

/skrip/upcp

Jika Anda ingin memutakhirkan cPanel/WHM melalui Panel Kontrol WHM, ikuti langkah-langkah di bawah ini:

Login ke WHM dan ketik saja “ upgrade ” di kotak pencarian.
Anda akan melihat "Tingkatkan ke Versi Terbaru" . Klik pada opsi ini
Jika Anda ingin mengirim cPanel file log dari upaya pembaruan Anda, klik kotak centang yang sesuai.

Jika Anda ingin menonaktifkan opsi ini, nonaktifkan opsi Kirim informasi tentang penggunaan server ke cPanel untuk analisis di antarmuka Pengaturan Tweak WHM ( Beranda >> Konfigurasi Server >> Pengaturan Tweak ).

Jika Anda ingin menginstal ulang perangkat lunak secara paksa, pilih kotak centang yang sesuai.
Klik Klik untuk Meningkatkan .

WHM VPS Optimized

Versi yang lebih baru akan menonaktifkan dukungan SSLv3 secara default. Namun, agar perubahan tersebut diterapkan melalui proses pembaruan, layanan harus dimulai ulang. Juga, setelah Anda meningkatkan server Anda, Anda harus mengikuti langkah-langkah di bawah ini untuk memastikan bahwa SSLv3 dinonaktifkan dengan benar.

Untuk Apache

Pergi ke WHM => Konfigurasi Layanan => Konfigurasi Apache => Konfigurasi Global .
SSL/TLS Cipher Suite (opsi kedua, bukan "SSL Cipher Suite") harus berisi "Semua -SSLv2 -SSLv3".
Pergi ke bagian bawah halaman, dan pilih tombol Simpan untuk memulai ulang layanan.

Catatan tentang Server Mail

Serangan POODLE mengharuskan klien untuk mencoba menghubungkan kembali beberapa kali untuk menurunkan versi ke SSLv3, dan biasanya hanya browser yang akan melakukan ini. Klien Email tidak terlalu rentan terhadap POODLE. Namun, pengguna yang menginginkan keamanan yang lebih baik harus beralih ke Dovecot hingga kami meningkatkan Courier ke versi yang lebih baru.

Untuk cpsrvd

Buka WHM => Konfigurasi Layanan => Konfigurasi Layanan Web cPanel
Pastikan kolom “TLS/SSL Protocols” berisi “SSLv23:!SSLv2:!SSLv3”.
Pilih tombol Simpan di bagian bawah.

Untuk cpdavd

Buka WHM => Konfigurasi Layanan => Konfigurasi Disk Web cPanel
Pastikan kolom “TLS/SSL Protocols” berisi “SSLv23:!SSLv2:!SSLv3”.
Pilih tombol Simpan di bagian bawah.

Untuk Dovecot

Buka WHM => Konfigurasi Layanan => Konfigurasi Server Surat
Protokol SSL harus berisi “!SSLv2 !SSLv3”. Jika tidak, ganti teks di bidang ini.
Pergi ke bagian bawah halaman, dan pilih tombol Simpan untuk memulai ulang layanan.

Untuk Kurir

Courier telah merilis versi baru untuk mengurangi hal ini pada 22/10, hingga kami memiliki kesempatan untuk meninjau, menguji, dan menerbitkan versi baru Courier, silakan beralih ke Dovecot untuk meningkatkan keamanan.

Untuk Exim

Buka Beranda => Konfigurasi Layanan => Manajer Konfigurasi Exim
Di bawah Editor Lanjutan, cari 'openssl_options'.
Pastikan bidang berisi "+no_sslv2 +no_sslv3".
Pergi ke bagian bawah halaman, dan pilih tombol Simpan untuk memulai ulang layanan.

Selain itu, jika Anda telah melakukan perubahan konfigurasi manual di server Anda untuk menonaktifkan SSLv3, Anda harus mengembalikan perubahan tersebut.

Untuk Apache

Buka WHM => Konfigurasi Layanan => Konfigurasi Apache => Sertakan Editor => Pra Sertakan Utama .
Pilih versi atau Semua Versi.
Hapus baris berikut dari kotak teks:

SSLHonorCipherPesan Aktif
SSLProtocol +Semua -SSLv2 -SSLv3

Tekan tombol Perbarui untuk membangun kembali konfigurasi Apache Anda.

Untuk cpdavd

Buka WHM => Konfigurasi Layanan => Konfigurasi Disk Web cPanel
Pastikan kolom “TLS/SSL Protocols” berisi “SSLv23:!SSLv2:!SSLv3”.
Pilih tombol Simpan di bagian bawah.

Untuk Kurir

Untuk Exim

Pergi ke WHM => Service Configuration => Exim Configuration Manager => Advanced Editor .
Buka BAGIAN: Konfigurasi di bagian atas.
Cari openssl_options.
Pastikan pengaturan ini diatur ke “+no_sslv2 +no_sslv3” yang merupakan Default cPanel.
Pergi ke bagian bawah halaman, dan pilih tombol Simpan.

Bagaimana cara mengamankan Server Web Apache saya dari POODLE?

Untuk menonaktifkan SSLv3 di Apache Web Server, Anda perlu mengedit konfigurasi Apache.

Untuk Sistem Debian dan Ubuntu, file yang perlu Anda modifikasi adalah /etc/Apache2/mods-available/ssl.conf .

Ketik Perintah: sudo nano /etc/apache2/mods-available/ssl.conf

Tambahkan baris berikut dalam konfigurasi Apache dengan arahan SSL lainnya.

SSLProtocol Semua -SSLv3 -SSLv2

Untuk Sistem CentOS dan Fedora, file yang perlu Anda modifikasi adalah /etc/httpd/conf.d/ssl.conf .

Perintah: sudo nano /etc/httpd/conf.d/ssl.conf

Tambahkan baris berikut ke konfigurasi Apache dengan arahan SSL lainnya.

SSLProtocol Semua -SSLv3 -SSLv2

Simpan dan Tutup file. Mulai ulang layanan Apache untuk mengaktifkan perubahan Anda.

Pada sistem Ubuntu dan Debian ketik perintah berikut untuk me-restart layanan Apache:

sudo service apache2 restart

Pada CentOS dan Fedora Systems ketik perintah berikut untuk memulai kembali layanan Apache:

layanan sudo httpd restart