Como faço para proteger meu servidor WHM contra o POODLE?

Publicados: 2014-10-28

WHM Server Poodle

O que é PODLE?

O “POODLE” (Padding Oracle On Downgraded Legacy Encryption) é um ataque de downgrade de protocolo no projeto do protocolo criptográfico SSL versão 3.0. Esse bug foi descoberto recentemente pelo pesquisador da equipe de segurança do Google, Bodo Möller, em colaboração com Thai Duong e Krzysztof Kotowicz.

O que o POODLE faz?

Em um ataque Poodlebleed, os invasores podem forçar uma conexão a “recorrer” ao SSL 3.0. Dessa forma, o invasor pode acessar as informações de texto simples da comunicação. Devido ao bug no SSL 3.0, os invasores também podem roubar cookies (pequenos arquivos de dados que permitem acesso persistente a um serviço online). Esses pequenos arquivos de dados podem permitir que um invasor acesse facilmente qualquer tipo de conta baseada na Web. Como uma exploração de segurança, pode afetar todos os navegadores e servidores da Web e, portanto, qualquer um de nós pode estar vulnerável.

Como faço para proteger os navegadores contra o POODLE?

Primeiro verifique se você é vulnerável ao POODLE? Basta navegar no site SSL Client Test da Qualys SSL Labs. Se você receber uma mensagem “Seu agente do usuário está vulnerável. Você deve desabilitar o SSL 3.” , você deve fazer uma limpeza nos navegadores.

A coisa mais simples que você pode fazer para proteger os navegadores é desabilitar o suporte SSLv3. Portanto, mesmo que o servidor ofereça suporte SSLv3, seu navegador negará usá-lo. Se o SSL 3.0 estiver desabilitado em seu navegador, o POODLE não poderá fazer downgrade do protocolo criptográfico para usá-lo. Consulte o artigo a seguir sobre Como desabilitar o SSL 3.0 em todos os principais navegadores (IE, Chrome e FireFox)

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

Observe que muitos sites ainda usam SSLv3. Se você desabilitar o SSL 3.0 do seu navegador, esses sites podem não funcionar bem para você.

Como proteger meu servidor WHM contra o POODLE?

Para testar seu servidor em relação ao POODLE, navegue na página a seguir:

https://www.ssllabs.com/ssltest/

Entre em qualquer site hospedado em seu servidor. Este teste avaliará seu servidor em relação a possíveis vulnerabilidades de segurança e fornecerá o relatório de segurança completo.

Se você achar seu servidor WHM vulnerável neste teste, é recomendável atualizar a versão do cPanel/WHM para 11.44.1.19 para resolver essa vulnerabilidade.

Qual versão do cPanel/WHM estou executando?

Para determinar a versão do seu cPanel/WHM, basta fazer login no WHM como root e localizar a versão no canto superior direito da interface do WHM.…..OU

Você pode disparar o seguinte comando no terminal:

/usr/local/cpanel/cpanel -V

Para proteger seu servidor WHM contra a vulnerabilidade POODLE, o cPanel recomendou atualizar o software cPanel/WHM para a versão 11.44.1.19. O cPanel lançou a versão (11.44.1.19) para desabilitar o SSLv3 em 22 de outubro de 2014.

Como faço para atualizar a versão do cPanel/WHM?

Para atualizar a versão do cPanel/WHM através do terminal, você só precisa executar o seguinte comando como usuário root:

/scripts/upcp

Se você deseja atualizar o cPanel/WHM através do Painel de Controle WHM, siga os passos abaixo mencionados:

  • Faça login no WHM e digite “ upgrade ” na caixa de pesquisa.
  • Você verá "Atualizar para a versão mais recente" . Clique nesta opção
  • Se você deseja enviar ao cPanel os arquivos de log de sua tentativa de atualização, clique na caixa de seleção apropriada.

Se você deseja desabilitar esta opção, desabilite a opção Enviar informações sobre o uso do servidor para o cPanel para análise na interface Tweak Settings do WHM ( Home >> Server Configuration >> Tweak Settings ).

  • Se você deseja forçar a reinstalação do software, marque a caixa de seleção apropriada.
  • Clique em Clique para atualizar .

WHM VPS Optimized

A versão mais recente desabilitará o suporte SSLv3 por padrão. No entanto, para que essas alterações tenham efeito por meio do processo de atualização, os serviços devem ser reiniciados. Além disso, depois de atualizar seu servidor, você precisará seguir as etapas abaixo para garantir que o SSLv3 esteja desabilitado corretamente.

Para Apache

  1. Vá para WHM => Service Configuration => Apache Configuration => Global Configuration .
  2. SSL/TLS Cipher Suite (a segunda opção, não “SSL Cipher Suite”) deve conter “All -SSLv2 -SSLv3”.
  3. Vá para a parte inferior da página e selecione o botão Salvar para reiniciar o serviço.

Nota sobre servidores de correio

O ataque POODLE exige que o cliente tente se conectar novamente várias vezes para fazer o downgrade para SSLv3 e, normalmente, apenas os navegadores farão isso. Os clientes de correio não são tão suscetíveis ao POODLE. No entanto, os usuários que desejam maior segurança devem mudar para o Dovecot até que atualizemos o Courier para uma versão mais recente.

Para cpsrvd

  1. Vá para WHM => Service Configuration => cPanel Web Services Configuration
  2. Certifique-se de que o campo “TLS/SSL Protocols” contenha “SSLv23:!SSLv2:!SSLv3”.
  3. Selecione o botão Salvar na parte inferior.

Para cpdavd

  1. Vá para WHM => Configuração de Serviço => Configuração de Disco Web do cPanel
  2. Certifique-se de que o campo “TLS/SSL Protocols” contenha “SSLv23:!SSLv2:!SSLv3”.
  3. Selecione o botão Salvar na parte inferior.

Para Pombal

  1. Vá para WHM => Configuração do serviço => Configuração do servidor de email
  2. Os protocolos SSL devem conter “!SSLv2 !SSLv3”. Caso contrário, substitua o texto neste campo.
  3. Vá para a parte inferior da página e selecione o botão Salvar para reiniciar o serviço.

Para Correio

O Courier lançou uma nova versão para mitigar isso a partir de 22/10, até que tenhamos uma oportunidade de revisar, testar e publicar a nova versão do Courier, mude para o Dovecot para aumentar a segurança.

Para Exim

  1. Vá para Home => Service Configuration => Exim Configuration Manager
  2. Em Editor Avançado, procure por 'openssl_options'.
  3. Certifique-se de que o campo contenha “+no_sslv2 +no_sslv3”.
  4. Vá para a parte inferior da página e selecione o botão Salvar para reiniciar o serviço.

Além disso, se você já executou alterações manuais de configuração em seu servidor para desabilitar o SSLv3, será necessário reverter essas alterações.

Para Apache

  1. Vá para WHM => Service Configuration => Apache Configuration => Include Editor => Pre Main Include .
  2. Selecione uma versão ou Todas as versões.
  3. Remova as seguintes linhas da caixa de texto:

SSLHonorCipherOrder On
Protocolo SSL +Todos -SSLv2 -SSLv3

  1. Pressione o botão Atualizar para reconstruir sua configuração do Apache.

Para cpdavd

  1. Vá para WHM => Configuração de Serviço => Configuração de Disco Web do cPanel
  2. Certifique-se de que o campo “TLS/SSL Protocols” contenha “SSLv23:!SSLv2:!SSLv3”.
  3. Selecione o botão Salvar na parte inferior.

Para Correio

O ataque POODLE exige que o cliente tente se conectar novamente várias vezes para fazer o downgrade para SSLv3 e, normalmente, apenas os navegadores farão isso. Os clientes de correio não são tão suscetíveis ao POODLE. No entanto, os usuários que desejam maior segurança devem mudar para o Dovecot até que atualizemos o Courier para uma versão mais recente.

Para Exim

  1. Vá para WHM => Service Configuration => Exim Configuration Manager => Advanced Editor .
  2. Vá para SECTION: Config na parte superior.
  3. Procure por openssl_options.
  4. Certifique-se de que essa configuração esteja definida como “+no_sslv2 +no_sslv3”, que é o padrão do cPanel.
  5. Vá para a parte inferior da página e selecione o botão Salvar.

Como faço para proteger meu Apache Web Server contra o POODLE?

Para desabilitar o SSLv3 no Apache Web Server, você precisará editar a configuração do Apache.

Para os sistemas Debian e Ubuntu, o arquivo que você precisa modificar é /etc/apache2/mods-available/ssl.conf .

Digite o comando: sudo nano /etc/apache2/mods-available/ssl.conf

Adicione a seguinte linha na configuração do Apache com outras diretivas SSL.

SSLProtocol All -SSLv3 -SSLv2

Para os sistemas CentOS e Fedora, o arquivo que você precisa modificar é /etc/httpd/conf.d/ssl.conf .

Comando: sudo nano /etc/httpd/conf.d/ssl.conf

Adicione a seguinte linha à configuração do Apache com outras diretivas SSL.

SSLProtocol All -SSLv3 -SSLv2

Salve e feche o arquivo. Reinicie o serviço Apache para ativar suas alterações.

Nos sistemas Ubuntu e Debian, digite o seguinte comando para reiniciar o serviço Apache:

sudo service apache2 restart

Nos sistemas CentOS e Fedora, digite o seguinte comando para reiniciar o serviço Apache:

sudo serviço httpd reiniciar