4b42 Logo

Wissensdatenbank

Benutzerbild
27 April 2015
5.203

Odin Plesk Panel SSL v3 deaktvieren

Vorwort


Vom Google Sicherheitsteam wurde die Sicherheitslücke CVE-2014-3566 im SSLv3-Protokoll entdeckt. Von OpenSSL ist zusätzlich ein Whitepaper verfügbar, das die Sicherheitslücke beschreibt.

Sie können mithilfe des folgenden Skripts überprüfen, ob Ihr System von der Sicherheitslücke betroffen und somit anfällig ist. Geben Sie anstelle des Parameters die IP-Adresse Ihres Servers an:
wget http://kb.sp.parallels.com/Attachments/kcs-40007/poodle.zip
unzip poodle.zip
chmod +x poodle.sh
for i in `echo 21 587 443 465 7081 8443 993 995 `; do /bin/sh /root/poodle.sh <IP> $i; done


Lösung


Webserver


Damit der oben beschriebene Angriff ausgeführt werden kann, muss eine SSL-3.0-Verbindung aufgebaut werden. Somit kann durch Deaktivierung des SSL-3.0-Protokolls im Client oder im Server (oder beidem) ein potenzieller Angriff abgewehrt werden.

Bitte beachten Sie, dass die hier aufgelisteten Updates die POODLE-Sicherheitslücke nicht beheben. Sie wenden lediglich die Option TLS_FALLBACK_SCSV an, um zu verhindern, dass ein Rückfall auf SSLv3 ausgelöst wird und bieten darüber hinaus Patches für verschiedene andere Sicherheitslücken.

Es wird dringend empfohlen, das openssl-Paket zu aktualisieren.

Die beste Option ist daher, die SSLv3-Unterstützung zu deaktivieren.

Sie können spezielle Skripts (siehe unten) verwenden, um SSLv3 für alle Services zu deaktivieren:

Linux


- deaktiviert Apache, nginx, proftpd, courier-imap, qmail, postfix, dovecot, Plesk Server-Modul (für die Versionen 11.5 und höher).
cd /usr/src/
wget http://kb.sp.parallels.com/Attachments/kcs-40007/ssl_v3_disable.zip
unzip ssl_v3_disable.zip
chmod +x ssl_v3_disable.sh
./ssl_v3_disable.sh
Fix SSL configuration for apache web server...
Fix SSL configuration for nginx web server...
Fix SSL configuration for postfix mail server...
[ ok ] Stopping Postfix Mail Transport Agent: postfix.
[ ok ] Starting Postfix Mail Transport Agent: postfix.
Fix SSL accessible protocols for courier-imap mail server
Fix SSL accessible protocols for dovecot mail server
Disable SSLv3 for FTP service
Fix Plesk Panel web service
nginx: [warn] duplicate value "TLSv1" in /etc/sw-cp-server/conf.d/pci-compliance.conf:1
nginx: [warn] duplicate value "TLSv1.1" in /etc/sw-cp-server/conf.d/pci-compliance.conf:1
nginx: [warn] duplicate value "TLSv1.2" in /etc/sw-cp-server/conf.d/pci-compliance.conf:1
Disable SSLv3 in Qmail MTA


Windows


- deaktiviert SSLv3 serverweit (WARNUNG: Ein Serverneustart wird erforderlich sein).

Nachfolgend finden Sie Anleitungen zum Deaktivieren von SSLv3 pro Service. Diese Anleitungen gelten auch, wenn Ihr Server bereits mit pci_compliance_resolver gepatcht wurde.

Parallels Plesk Service


Da Plesk das gleiche SSL-Modul nutzt, sollte der Service sw-cp-server ebenfalls so konfiguriert werden, dass vor der SSLv3-Sicherheitslücke geschützt wird.

Bearbeiten Sie die Datei /etc/sw-cp-server/config. Fügen Sie im Abschnitt http Folgendes hinzu:
nano /etc/sw-cp-server/config
http {
...
# disable ssl version 3
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
...

Führen Sie einen Neustart aus:
service sw-cp-server restart
[ ok ] Restarting sw-cp-serverd: sw-cp-server.