Как мне защитить свой сервер WHM от POODLE?

Опубликовано: 2014-10-28

Что такое ПУДЕЛЬ?

«POODLE» (Padding Oracle On Downgrade Legacy Encryption) — это атака на понижение версии протокола в дизайне криптографического протокола SSL версии 3.0. Эта ошибка была недавно обнаружена исследователем группы безопасности Google Бодо Мёллером в сотрудничестве с Тай Дуонг и Кшиштофом Котовичем.

Что делает ПУДЛЬ?

При атаке Poodlebleed злоумышленники могут заставить соединение перейти на «откат» к SSL 3.0. Таким образом, злоумышленник может получить доступ к текстовой информации из сообщения. Из-за ошибки в SSL 3.0 злоумышленники также могут украсть файлы cookie (небольшие файлы данных, обеспечивающие постоянный доступ к онлайн-сервису). Эти небольшие файлы данных могут легко позволить злоумышленнику получить доступ к любым веб-аккаунтам. Как эксплойт безопасности, он может повлиять на все веб-браузеры и серверы, поэтому любой из нас может быть уязвим.

Как защитить браузеры от POODLE?

Сначала проверьте, уязвимы ли вы для POODLE? Просто просмотрите веб-сайт тестирования SSL-клиентов Qualys SSL Labs. Если вы получили сообщение «Ваш пользовательский агент уязвим. Вам следует отключить SSL 3». , вы должны сделать некоторую очистку в браузерах.

Самое простое, что вы можете сделать для защиты браузеров, — это отключить поддержку SSLv3. Поэтому, даже если сервер предлагает поддержку SSLv3, ваш браузер откажет в ее использовании. Если в вашем браузере отключен SSL 3.0, POODLE не сможет понизить криптографический протокол, чтобы использовать его. См. следующую статью о том, как отключить SSL 3.0 во всех основных браузерах (IE, Chrome и FireFox).

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

Обратите внимание, что многие веб-сайты все еще используют SSLv3. Если вы отключите SSL 3.0 в своем браузере, эти сайты могут вам не подойти.

Как мне защитить свой сервер WHM от POODLE?

Чтобы протестировать свой сервер против POODLE, перейдите на следующую страницу:

https://www.ssllabs.com/ssltest/

Введите любой веб-сайт, размещенный на вашем сервере. Этот тест оценит ваш сервер на предмет потенциальных уязвимостей безопасности и предоставит вам полный отчет о безопасности.

Если вы обнаружите, что ваш сервер WHM уязвим в этом тесте, вам рекомендуется обновить версию cPanel/WHM до 11.44.1.19 для устранения этой уязвимости.

Какую версию cPanel/WHM я использую?

Чтобы определить версию cPanel/WHM, просто войдите в WHM как пользователь root и найдите версию в правом верхнем углу интерфейса WHM.…..ИЛИ

Вы можете запустить следующую команду в терминале:

/USR/локальные/cpanel/cpanel-V

Чтобы защитить ваш сервер WHM от уязвимости POODLE, cPanel рекомендует обновить программное обеспечение cPanel/WHM до версии 11.44.1.19. cPanel выпустила версию (11.44.1.19) для отключения SSLv3 22 октября 2014 года.

Как обновить версию cPanel/WHM?

Чтобы обновить версию cPanel/WHM через терминал, вам просто нужно выполнить следующую команду от имени пользователя root:

/скрипты/upcp

Если вы хотите обновить cPanel/WHM через панель управления WHM, выполните следующие шаги:

Войдите в WHM и просто введите « upgrade » в поле поиска.
Вы увидите «Обновить до последней версии» . Нажмите на эту опцию
Если вы хотите отправить cPanel файлы журнала после попытки обновления, установите соответствующий флажок.

Если вы хотите отключить эту опцию, отключите параметр «Отправлять информацию об использовании сервера в cPanel для анализа» в интерфейсе настроек WHM ( Главная >> Конфигурация сервера >> Настройки настройки ).

Если вы хотите принудительно переустановить программное обеспечение, установите соответствующий флажок.
Щелкните Щелкните, чтобы обновить .

WHM VPS Optimized

В новой версии по умолчанию отключена поддержка SSLv3. Однако, чтобы эти изменения вступили в силу в процессе обновления, необходимо перезапустить службы. Кроме того, после обновления сервера вам нужно будет выполнить следующие шаги, чтобы убедиться, что SSLv3 правильно отключен.

Для Апача

Перейдите в WHM => Конфигурация службы => Конфигурация Apache => Глобальная конфигурация .
SSL/TLS Cipher Suite (второй вариант, а не «SSL Cipher Suite») должен содержать «All -SSLv2 -SSLv3».
Перейдите в нижнюю часть страницы и нажмите кнопку « Сохранить », чтобы перезапустить службу.

Примечание о почтовых серверах

Атака POODLE требует, чтобы клиент несколько раз повторил попытку подключения, чтобы перейти на SSLv3, и обычно это делают только браузеры. Почтовые клиенты не так восприимчивы к POODLE. Тем не менее, пользователи, которым нужна более высокая безопасность, должны перейти на Dovecot, пока мы не обновим Courier до более новой версии.

Для cpsrvd

Перейдите в WHM => Конфигурация службы => Конфигурация веб-служб cPanel .
Убедитесь, что в поле «Протоколы TLS/SSL» указано «SSLv23:!SSLv2:!SSLv3».
Нажмите кнопку Сохранить внизу.

Для cpdavd

Перейдите в WHM => Конфигурация службы => Конфигурация веб-диска cPanel .
Убедитесь, что в поле «Протоколы TLS/SSL» указано «SSLv23:!SSLv2:!SSLv3».
Нажмите кнопку Сохранить внизу.

Для голубятни

Перейдите в WHM => Конфигурация службы => Конфигурация почтового сервера.
Протоколы SSL должны содержать «!SSLv2 !SSLv3». Если это не так, замените текст в этом поле.
Перейдите в нижнюю часть страницы и нажмите кнопку « Сохранить », чтобы перезапустить службу.

Для курьера

Courier выпустил новую версию, чтобы смягчить эту проблему по состоянию на 22 октября, пока у нас не будет возможности просмотреть, протестировать и опубликовать новую версию Courier, пожалуйста, переключитесь на Dovecot для повышения безопасности.

Для Эксима

Перейдите в раздел « Главная» => « Конфигурация службы» => «Менеджер конфигурации Exim ».
В расширенном редакторе найдите «openssl_options».
Убедитесь, что поле содержит «+no_sslv2 +no_sslv3».
Перейдите в нижнюю часть страницы и нажмите кнопку « Сохранить », чтобы перезапустить службу.

Кроме того, если вы уже вручную внесли изменения в конфигурацию своего сервера для отключения SSLv3, вам потребуется отменить эти изменения.

Для Апача

Перейдите в WHM => Service Configuration => Apache Configuration => Include Editor => Pre Main Include .
Выберите версию или все версии.
Удалите следующие строки из текстового поля:

SSLHonorCipherOrder включен
SSLПротокол +Все -SSLv2 -SSLv3

Нажмите кнопку « Обновить », чтобы восстановить конфигурацию Apache.

Для cpdavd

Перейдите в WHM => Конфигурация службы => Конфигурация веб-диска cPanel .
Убедитесь, что в поле «Протоколы TLS/SSL» указано «SSLv23:!SSLv2:!SSLv3».
Нажмите кнопку Сохранить внизу.

Для курьера

Для Эксима

Перейдите в WHM => Service Configuration => Exim Configuration Manager => Advanced Editor .
Перейдите в РАЗДЕЛ: Конфигурация вверху.
Найдите openssl_options.
Убедитесь, что для этого параметра установлено значение «+no_sslv2 +no_sslv3», которое является значением по умолчанию для cPanel.
Перейдите в самый низ страницы и нажмите кнопку Сохранить.

Как защитить мой веб-сервер Apache от POODLE?

Чтобы отключить SSLv3 на веб-сервере Apache, вам потребуется отредактировать конфигурацию Apache.

Для систем Debian и Ubuntu необходимо изменить файл /etc/apache2/mods-available/ssl.conf .

Введите команду: sudo nano /etc/apache2/mods-available/ssl.conf

Добавьте следующую строку в конфигурацию Apache с другими директивами SSL.

Протокол SSL Все -SSLv3 -SSLv2

Для систем CentOS и Fedora необходимо изменить файл /etc/httpd/conf.d/ssl.conf .

Команда: sudo nano /etc/httpd/conf.d/ssl.conf

Добавьте следующую строку в конфигурацию Apache с другими директивами SSL.

Протокол SSL Все -SSLv3 -SSLv2

Сохраните и закройте файл. Перезапустите службу Apache, чтобы изменения вступили в силу.

В системах Ubuntu и Debian введите следующую команду, чтобы перезапустить службу Apache:

перезагрузка службы sudo apache2

В системах CentOS и Fedora введите следующую команду, чтобы перезапустить службу Apache:

перезапуск службы sudo httpd