ฉันจะป้องกันเซิร์ฟเวอร์ WHM ของฉันจาก POODLE ได้อย่างไร

เผยแพร่แล้ว: 2014-10-28

WHM Server Poodle

พุดเดิ้ลคืออะไร?

“POODLE” (Padding Oracle On Downgraded Legacy Encryption) เป็นการโจมตีโปรโตคอลดาวน์เกรดในการออกแบบโปรโตคอลการเข้ารหัส SSL เวอร์ชัน 3.0 บั๊กนี้เพิ่งค้นพบโดยนักวิจัยทีมรักษาความปลอดภัยของ Google Bodo Möller ร่วมกับ Thai Duong และ Krzysztof Kotowicz

พุดเดิ้ลทำอะไร?

ในการโจมตีแบบ Poodleed ผู้บุกรุกสามารถบังคับให้เชื่อมต่อกับ "ทางเลือก" ของ SSL 3.0 ด้วยวิธีนี้ ผู้โจมตีสามารถเข้าถึงข้อมูลข้อความธรรมดาจากการสื่อสาร เนื่องจากจุดบกพร่องใน SSL 3.0 ผู้โจมตีจึงสามารถขโมยคุกกี้ได้ (ไฟล์ข้อมูลขนาดเล็กที่เปิดใช้งานการเข้าถึงบริการออนไลน์อย่างต่อเนื่อง) ไฟล์ข้อมูลขนาดเล็กเหล่านี้สามารถอนุญาตให้ผู้โจมตีเข้าถึงบัญชีบนเว็บประเภทใดก็ได้ เนื่องจากเป็นช่องโหว่ด้านความปลอดภัย มันสามารถส่งผลกระทบต่อเว็บเบราว์เซอร์และเซิร์ฟเวอร์ทั้งหมด ดังนั้นพวกเราคนใดคนหนึ่งอาจมีความเสี่ยง

ฉันจะป้องกันเบราว์เซอร์จาก POODLE ได้อย่างไร

ก่อนอื่นให้ตรวจสอบก่อนว่าคุณเป็นพุดเดิ้ลเสี่ยงหรือไม่? เพียงเรียกดูเว็บไซต์ทดสอบไคลเอ็นต์ SSL ของ Qualys SSL Labs หากคุณได้รับข้อความ “ตัวแทนผู้ใช้ของคุณมีความเสี่ยง คุณควรปิดการใช้งาน SSL 3” คุณควรทำความสะอาดเบราว์เซอร์

สิ่งที่ง่ายที่สุดที่คุณสามารถทำได้เพื่อปกป้องเบราว์เซอร์คือการปิดใช้งานการสนับสนุน SSLv3 ดังนั้น แม้ว่าเซิร์ฟเวอร์จะให้การสนับสนุน SSLv3 เบราว์เซอร์ของคุณจะปฏิเสธที่จะใช้ หากปิดใช้ SSL 3.0 บนเบราว์เซอร์ของคุณ POODLE จะไม่สามารถดาวน์เกรดโปรโตคอลการเข้ารหัสเพื่อใช้งานได้ อ้างถึงบทความต่อไปนี้เกี่ยวกับวิธีปิดใช้งาน SSL 3.0 ในเบราว์เซอร์หลักทั้งหมด (IE, Chrome และ FireFox)

https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm

โปรดทราบว่าเว็บไซต์จำนวนมากยังคงใช้ SSLv3 หากคุณปิดใช้งาน SSL 3.0 จากเบราว์เซอร์ของคุณ ไซต์เหล่านั้นอาจทำงานได้ไม่ดีสำหรับคุณ

ฉันจะป้องกันเซิร์ฟเวอร์ WHM ของฉันจาก POODLE ได้อย่างไร

หากต้องการทดสอบเซิร์ฟเวอร์ของคุณกับ POODLE ให้เรียกดูหน้าต่อไปนี้:

https://www.ssllabs.com/ssltest/

ป้อนเว็บไซต์ที่โฮสต์บนเซิร์ฟเวอร์ของคุณ การทดสอบนี้จะประเมินเซิร์ฟเวอร์ของคุณเทียบกับช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้น และมอบรายงานความปลอดภัยฉบับสมบูรณ์ให้กับคุณ

หากคุณพบว่าเซิร์ฟเวอร์ WHM ของคุณมีช่องโหว่ในการทดสอบนี้ ขอแนะนำให้อัปเกรดเวอร์ชัน cPanel/WHM เป็น 11.44.1.19 เพื่อแก้ไขช่องโหว่นี้

ฉันใช้ cPanel/WHM เวอร์ชันใดอยู่

ในการกำหนดเวอร์ชัน cPanel/WHM ของคุณ เพียงลงชื่อเข้าใช้ WHM ในฐานะรูท และค้นหาเวอร์ชันที่ด้านบนขวาของอินเทอร์เฟซ WHM…..OR

คุณสามารถเรียกใช้คำสั่งต่อไปนี้ในเทอร์มินัล:

/usr/local/cpanel/cpanel -V

เพื่อป้องกันเซิร์ฟเวอร์ WHM ของคุณจากช่องโหว่ POODLE cPanel ได้แนะนำให้อัปเกรดซอฟต์แวร์ cPanel/WHM เป็นเวอร์ชัน 11.44.1.19 cPanel ได้เปิดตัวเวอร์ชัน (11.44.1.19) เพื่อปิดใช้งาน SSLv3 ในวันที่ 22 ตุลาคม 2014

ฉันจะอัปเกรดเวอร์ชัน cPanel/WHM ได้อย่างไร

ในการอัปเกรดเวอร์ชัน cPanel/WHM ผ่านเทอร์มินัล คุณเพียงแค่เรียกใช้คำสั่งต่อไปนี้ในฐานะผู้ใช้รูท:

/scripts/upcp

หากคุณต้องการอัพเกรด cPanel/WHM ผ่านแผงควบคุม WHM ให้ทำตามขั้นตอนที่กล่าวถึงด้านล่าง:

  • เข้าสู่ระบบ WHM และเพียงพิมพ์ “ อัปเกรด ” ในช่องค้นหา
  • คุณจะเห็น "อัปเกรดเป็นเวอร์ชันล่าสุด" คลิกที่ตัวเลือกนี้
  • หากคุณต้องการส่งไฟล์บันทึก cPanel จากความพยายามอัปเดตของคุณ ให้คลิกช่องทำเครื่องหมายที่เหมาะสม

หากคุณต้องการปิดการใช้งานตัวเลือกนี้ ให้ปิดการใช้งานตัวเลือก Send information about server usage to cPanel for analysis ในอินเทอร์เฟซการตั้งค่าปรับแต่งของ WHM ( หน้า หลัก >> การ กำหนดค่าเซิร์ฟเวอร์ >> การตั้งค่าปรับแต่ง )

  • หากคุณต้องการบังคับติดตั้งซอฟต์แวร์ใหม่ ให้เลือกช่องทำเครื่องหมายที่เหมาะสม
  • คลิก คลิกเพื่ออัปเกรด

WHM VPS Optimized

เวอร์ชันใหม่กว่าจะปิดใช้งานการสนับสนุน SSLv3 ตามค่าเริ่มต้น อย่างไรก็ตาม เพื่อให้การเปลี่ยนแปลงเหล่านั้นมีผลผ่านกระบวนการอัปเดต บริการจะต้องเริ่มใหม่ นอกจากนี้ เมื่อคุณอัพเกรดเซิร์ฟเวอร์ของคุณ คุณจะต้องทำตามขั้นตอนด้านล่างเพื่อให้แน่ใจว่า SSLv3 ถูกปิดใช้งานอย่างเหมาะสม

สำหรับ Apache

  1. ไปที่ WHM => Service Configuration => Apache Configuration => Global Configuration
  2. SSL/TLS Cipher Suite (ตัวเลือกที่สอง ไม่ใช่ “SSL Cipher Suite”) ควรมี “All -SSLv2 -SSLv3”
  3. ไปที่ด้านล่างของหน้า และเลือกปุ่ม บันทึก เพื่อเริ่มบริการใหม่

หมายเหตุเกี่ยวกับเมลเซิร์ฟเวอร์

การโจมตี POODLE ต้องการให้ไคลเอ็นต์ลองเชื่อมต่อใหม่หลายครั้งเพื่อดาวน์เกรดเป็น SSLv3 และโดยทั่วไปแล้วจะมีเฉพาะเบราว์เซอร์เท่านั้นที่ทำเช่นนี้ โปรแกรมรับส่งเมลไม่อ่อนไหวต่อ POODLE อย่างไรก็ตาม ผู้ใช้ที่ต้องการความปลอดภัยที่ดีขึ้นควรเปลี่ยนไปใช้ Dovecot จนกว่าเราจะอัปเกรด Courier เป็นเวอร์ชันใหม่กว่า

สำหรับcpsrvd

  1. ไปที่ WHM => Service Configuration => cPanel Web Services Configuration
  2. ตรวจสอบให้แน่ใจว่าฟิลด์ “TLS/SSL Protocols” มี “SSLv23:!SSLv2:!SSLv3”
  3. เลือกปุ่ม บันทึก ที่ด้านล่าง

สำหรับcpdavd

  1. ไปที่ WHM => Service Configuration => cPanel Web Disk Configuration
  2. ตรวจสอบให้แน่ใจว่าฟิลด์ “TLS/SSL Protocols” มี “SSLv23:!SSLv2:!SSLv3”
  3. เลือกปุ่ม บันทึก ที่ด้านล่าง

สำหรับโดฟคอต

  1. ไปที่ WHM => Service Configuration => Mailserver Configuration
  2. โปรโตคอล SSL ควรมี “!SSLv2 !SSLv3” หากไม่เป็นเช่นนั้น ให้แทนที่ข้อความในช่องนี้
  3. ไปที่ด้านล่างของหน้า และเลือกปุ่ม บันทึก เพื่อเริ่มบริการใหม่

สำหรับจัดส่ง

Courier ได้เปิดตัวเวอร์ชันใหม่เพื่อบรรเทาปัญหานี้ในวันที่ 22/10 จนกว่าเราจะมีโอกาสตรวจสอบ ทดสอบ และเผยแพร่ Courier เวอร์ชันใหม่ โปรดเปลี่ยนไปใช้ Dovecot เพื่อเพิ่มความปลอดภัย

สำหรับ Exim

  1. ไปที่ หน้าแรก => การกำหนดค่าบริการ => Exim Configuration Manager
  2. ภายใต้ตัวแก้ไขขั้นสูง ให้มองหา 'openssl_options'
  3. ตรวจสอบให้แน่ใจว่าฟิลด์นี้มี “+no_sslv2 +no_sslv3”
  4. ไปที่ด้านล่างของหน้า และเลือกปุ่ม บันทึก เพื่อเริ่มบริการใหม่

นอกจากนี้ หากคุณได้ทำการเปลี่ยนแปลงการกำหนดค่าด้วยตนเองบนเซิร์ฟเวอร์ของคุณเพื่อปิดใช้งาน SSLv3 แล้ว คุณจะต้องยกเลิกการเปลี่ยนแปลงเหล่านั้น

สำหรับ Apache

  1. ไปที่ WHM => Service Configuration => Apache Configuration => Include Editor => Pre Main Include
  2. เลือกเวอร์ชันหรือทุกเวอร์ชัน
  3. ลบบรรทัดต่อไปนี้ออกจากกล่องข้อความ:

SSLHonorCipherสั่งเปิด
SSLProtocol +ทั้งหมด -SSLv2 -SSLv3

  1. กดปุ่ม อัปเดต เพื่อสร้างการกำหนดค่า Apache ของคุณใหม่

สำหรับcpdavd

  1. ไปที่ WHM => Service Configuration => cPanel Web Disk Configuration
  2. ตรวจสอบให้แน่ใจว่าฟิลด์ “TLS/SSL Protocols” มี “SSLv23:!SSLv2:!SSLv3”
  3. เลือกปุ่ม บันทึก ที่ด้านล่าง

สำหรับจัดส่ง

การโจมตี POODLE ต้องการให้ไคลเอ็นต์ลองเชื่อมต่อใหม่หลายครั้งเพื่อดาวน์เกรดเป็น SSLv3 และโดยทั่วไปแล้วจะมีเฉพาะเบราว์เซอร์เท่านั้นที่ทำเช่นนี้ โปรแกรมรับส่งเมลไม่อ่อนไหวต่อ POODLE อย่างไรก็ตาม ผู้ใช้ที่ต้องการความปลอดภัยที่ดีขึ้นควรเปลี่ยนไปใช้ Dovecot จนกว่าเราจะอัปเกรด Courier เป็นเวอร์ชันใหม่กว่า

สำหรับ Exim

  1. ไปที่ WHM => Service Configuration => Exim Configuration Manager => Advanced Editor
  2. ไปที่ส่วน: กำหนดค่าที่ด้านบน
  3. ค้นหา openssl_options
  4. ตรวจสอบให้แน่ใจว่าการตั้งค่านี้ถูกตั้งค่าเป็น “+no_sslv2 +no_sslv3” ซึ่งเป็นค่าเริ่มต้นของ cPanel
  5. ไปที่ด้านล่างของหน้าแล้วเลือกปุ่มบันทึก

ฉันจะรักษาความปลอดภัยเว็บเซิร์ฟเวอร์ Apache ของฉันจาก POODLE ได้อย่างไร

ในการปิดใช้งาน SSLv3 ใน Apache Web Server คุณจะต้องแก้ไขการกำหนดค่า Apache

สำหรับระบบ Debian และ Ubuntu ไฟล์ที่คุณต้องแก้ไขคือ /etc/apache2/mods-available/ssl.conf

พิมพ์คำสั่ง: sudo nano /etc/apache2/mods-available/ssl.conf

เพิ่มบรรทัดต่อไปนี้ในการกำหนดค่า Apache ด้วยคำสั่ง SSL อื่นๆ

SSLProtocol ทั้งหมด -SSLv3 -SSLv2

สำหรับ CentOS และ Fedora Systems ไฟล์ที่คุณต้องแก้ไขคือ /etc/httpd/conf.d/ssl.conf

คำสั่ง: sudo nano /etc/httpd/conf.d/ssl.conf

เพิ่มบรรทัดต่อไปนี้ในการกำหนดค่า Apache ด้วยคำสั่ง SSL อื่นๆ

SSLProtocol ทั้งหมด -SSLv3 -SSLv2

บันทึกและปิดไฟล์ เริ่มบริการ Apache ใหม่เพื่อเปิดใช้งานการเปลี่ยนแปลงของคุณ

บนระบบ Ubuntu และ Debian ให้พิมพ์คำสั่งต่อไปนี้เพื่อเริ่มบริการ Apache ใหม่:

sudo service apache2 รีสตาร์ท

บน CentOS และ Fedora Systems พิมพ์คำสั่งต่อไปนี้เพื่อเริ่มบริการ Apache ใหม่:

บริการ sudo httpd เริ่มใหม่