POODLE로부터 WHM 서버를 어떻게 보호합니까?

게시 됨: 2014-10-28

WHM Server Poodle

푸들이란?

"POODLE"(Padding Oracle On Downgraded Legacy Encryption)는 암호화 프로토콜 SSL 버전 3.0의 설계에서 프로토콜 다운그레이드 공격입니다. 이 버그는 Google 보안 팀 연구원 Bodo Möller가 Thai Duong 및 Krzysztof Kotowicz와 공동으로 최근에 발견했습니다.

푸들은 어떤 일을 하나요?

Poodlebleed 공격에서 침입자는 SSL 3.0으로 "대체"하도록 연결을 강제할 수 있습니다. 이러한 방식으로 공격자는 통신에서 일반 텍스트 정보에 액세스할 수 있습니다. SSL 3.0의 버그로 인해 공격자는 쿠키(온라인 서비스에 지속적으로 액세스할 수 있는 작은 데이터 파일)도 훔칠 수 있습니다. 이러한 작은 데이터 파일을 통해 공격자는 모든 종류의 웹 기반 계정에 쉽게 액세스할 수 있습니다. 보안 익스플로잇으로서 모든 웹 브라우저와 서버에 영향을 줄 수 있으므로 우리 중 누구라도 취약할 수 있습니다.

POODLE로부터 브라우저를 어떻게 보호합니까?

POODLE에 취약한지 먼저 확인하시겠습니까? Qualys SSL Labs의 SSL 클라이언트 테스트 웹사이트를 탐색하기만 하면 됩니다. "귀하의 사용자 에이전트가 취약합니다. SSL 3을 비활성화해야 합니다." , 브라우저에서 청소를 해야 합니다.

브라우저를 보호하기 위해 할 수 있는 가장 간단한 방법은 SSLv3 지원을 비활성화하는 것입니다. 따라서 서버가 SSLv3 지원을 제공하더라도 브라우저는 SSLv3 사용을 거부합니다. 브라우저에서 SSL 3.0이 비활성화된 경우 POODLE은 이를 사용하기 위해 암호화 프로토콜을 다운그레이드할 수 없습니다. 모든 주요 브라우저(IE, Chrome 및 FireFox)에서 SSL 3.0을 비활성화하는 방법에 대한 다음 문서를 참조하십시오.

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

많은 웹사이트가 여전히 SSLv3를 사용하고 있습니다. 브라우저에서 SSL 3.0을 비활성화하면 해당 사이트가 제대로 작동하지 않을 수 있습니다.

POODLE로부터 WHM 서버를 어떻게 보호합니까?

POODLE에 대해 서버를 테스트하려면 다음 페이지를 탐색하십시오.

https://www.ssllabs.com/ssltest/

서버에서 호스팅되는 웹사이트를 입력합니다. 이 테스트는 잠재적인 보안 취약점에 대해 서버를 평가하고 전체 보안 보고서를 제공합니다.

이 테스트에서 WHM 서버가 취약한 것으로 확인되면 이 취약성을 해결하기 위해 cPanel/WHM 버전을 11.44.1.19로 업그레이드하는 것이 좋습니다.

실행 중인 cPanel/WHM의 버전은 무엇입니까?

cPanel/WHM 버전을 확인하려면 루트로 WHM에 로그인하고 WHM 인터페이스의 오른쪽 상단에서 버전을 찾으십시오.…..또는

터미널에서 다음 명령을 실행할 수 있습니다.

/usr/local/cpanel/cpanel -V

POODLE 취약점으로부터 WHM 서버를 보호하기 위해 cPanel은 cPanel/WHM 소프트웨어를 버전 11.44.1.19로 업그레이드할 것을 권장합니다. cPanel은 2014년 10월 22일에 SSLv3를 비활성화하는 버전(11.44.1.19)을 출시했습니다.

cPanel/WHM 버전을 어떻게 업그레이드합니까?

터미널을 통해 cPanel/WHM 버전을 업그레이드하려면 루트 사용자로 다음 명령을 실행하기만 하면 됩니다.

/스크립트/upcp

WHM 제어판을 통해 cPanel/WHM을 업그레이드하려면 아래 언급된 단계를 따르십시오.

  • WHM에 로그인하고 검색 상자에 " 업그레이드 "를 입력하기만 하면 됩니다.
  • "최신 버전으로 업그레이드" 가 표시됩니다. 이 옵션을 클릭하십시오
  • 업데이트 시도의 로그 파일을 cPanel에 보내려면 해당 확인란을 클릭합니다.

이 옵션을 비활성화하려면 WHM의 조정 설정 인터페이스( >> 서버 구성 >> 조정 설정 )에서 분석을 위해 cPanel에 서버 사용 정보 보내기 옵션을 비활성화하십시오.

  • 소프트웨어를 강제로 다시 설치하려면 해당 확인란을 선택하십시오.
  • 클릭 하여 업그레이드 를 클릭합니다 .

WHM VPS Optimized

최신 버전은 기본적으로 SSLv3 지원을 비활성화합니다. 그러나 이러한 변경 사항이 업데이트 프로세스를 통해 적용되려면 서비스를 다시 시작해야 합니다. 또한 서버를 업그레이드한 후에는 아래 단계에 따라 SSLv3가 제대로 비활성화되었는지 확인해야 합니다.

아파치의 경우

  1. WHM => 서비스 구성 => Apache 구성 => 전역 구성 으로 이동합니다.
  2. SSL/TLS Cipher Suite("SSL Cipher Suite"가 아닌 두 번째 옵션)에는 "All -SSLv2 -SSLv3"이 포함되어야 합니다.
  3. 페이지 하단으로 이동하여 저장 버튼을 선택하여 서비스를 다시 시작합니다.

메일 서버에 대한 참고 사항

POODLE 공격은 클라이언트가 SSLv3으로 다운그레이드하기 위해 여러 번 연결을 재시도해야 하며 일반적으로 브라우저만 수행합니다. 메일 클라이언트는 POODLE에 취약하지 않습니다. 그러나 더 나은 보안을 원하는 사용자는 Courier를 최신 버전으로 업그레이드할 때까지 Dovecot으로 전환해야 합니다.

cpsrvd의 경우

  1. WHM => 서비스 구성 => cPanel 웹 서비스 구성 으로 이동합니다.
  2. "TLS/SSL 프로토콜" 필드에 "SSLv23:!SSLv2:!SSLv3"이 포함되어 있는지 확인합니다.
  3. 하단의 저장 버튼을 선택합니다.

cpdavd의 경우

  1. WHM => 서비스 구성 => cPanel 웹 디스크 구성 으로 이동합니다.
  2. "TLS/SSL 프로토콜" 필드에 "SSLv23:!SSLv2:!SSLv3"이 포함되어 있는지 확인합니다.
  3. 하단의 저장 버튼을 선택합니다.

도브콧용

  1. WHM => 서비스 구성 => 메일 서버 구성 으로 이동합니다.
  2. SSL 프로토콜에는 "!SSLv2 !SSLv3"이 포함되어야 합니다. 그렇지 않은 경우 이 필드의 텍스트를 바꿉니다.
  3. 페이지 하단으로 이동하여 저장 버튼을 선택하여 서비스를 다시 시작합니다.

택배용

Courier는 10/22일에 이를 완화하기 위해 새 버전을 출시했습니다. 새로운 버전의 Courier를 검토, 테스트 및 게시할 때까지 보안 강화를 위해 Dovecot으로 전환하십시오.

엑심용

  1. => 서비스 구성 => Exim 구성 관리자 로 이동
  2. 고급 편집기에서 'openssl_options'를 찾습니다.
  3. 필드에 "+no_sslv2 +no_sslv3"이 포함되어 있는지 확인합니다.
  4. 페이지 하단으로 이동하여 저장 버튼을 선택하여 서비스를 다시 시작합니다.

또한 SSLv3을 비활성화하기 위해 서버에서 이미 수동 구성 변경을 수행한 경우 해당 변경 사항을 되돌려야 합니다.

아파치의 경우

  1. WHM => Service Configuration => Apache Configuration => Include Editor => Pre Main Include 로 이동하십시오.
  2. 버전 또는 모든 버전을 선택합니다.
  3. 텍스트 상자에서 다음 줄을 제거합니다.

SSLHonorCipherOrder 켜기
SSL프로토콜 +모두 -SSLv2 -SSLv3

  1. 업데이트 버튼을 눌러 Apache 구성을 다시 작성하십시오.

cpdavd의 경우

  1. WHM => 서비스 구성 => cPanel 웹 디스크 구성 으로 이동합니다.
  2. "TLS/SSL 프로토콜" 필드에 "SSLv23:!SSLv2:!SSLv3"이 포함되어 있는지 확인합니다.
  3. 하단의 저장 버튼을 선택합니다.

택배용

POODLE 공격은 클라이언트가 SSLv3으로 다운그레이드하기 위해 여러 번 연결을 재시도해야 하며 일반적으로 브라우저만 수행합니다. 메일 클라이언트는 POODLE에 취약하지 않습니다. 그러나 더 나은 보안을 원하는 사용자는 Courier를 최신 버전으로 업그레이드할 때까지 Dovecot으로 전환해야 합니다.

엑심용

  1. WHM => 서비스 구성 => Exim 구성 관리자 => 고급 편집기 로 이동합니다.
  2. 상단의 섹션: 구성으로 이동합니다.
  3. openssl_options를 검색합니다.
  4. 이 설정이 cPanel 기본값인 "+no_sslv2 +no_sslv3"으로 설정되어 있는지 확인합니다.
  5. 페이지 하단으로 이동하여 저장 버튼을 선택합니다.

POODLE에 대해 Apache 웹 서버를 어떻게 보호합니까?

Apache Web Server에서 SSLv3을 비활성화하려면 Apache 구성을 편집해야 합니다.

Debian 및 Ubuntu 시스템의 경우 수정해야 하는 파일은 /etc/apache2/mods-available/ssl.conf 입니다.

유형 명령: sudo nano /etc/apache2/mods-available/ssl.conf

다른 SSL 지시문을 사용하여 Apache 구성에 다음 행을 추가하십시오.

SSL 프로토콜 전체 -SSLv3 -SSLv2

CentOS 및 Fedora 시스템의 경우 수정해야 하는 파일은 /etc/httpd/conf.d/ssl.conf 입니다.

명령: sudo nano /etc/httpd/conf.d/ssl.conf

다른 SSL 지시문을 사용하여 Apache 구성에 다음 행을 추가하십시오.

SSL 프로토콜 전체 -SSLv3 -SSLv2

파일을 저장하고 닫습니다. 변경 사항을 활성화하려면 Apache 서비스를 다시 시작하십시오.

Ubuntu 및 Debian 시스템에서 다음 명령을 입력하여 Apache 서비스를 다시 시작합니다.

sudo 서비스 apache2 재시작

CentOS 및 Fedora 시스템에서 다음 명령을 입력하여 Apache 서비스를 다시 시작합니다.

sudo 서비스 httpd 다시 시작