Article ID: 123160, created on Oct 17, 2014, last review on Mar 31, 2016

  • Applies to:
  • Plesk Automation 11.5
  • Plesk for Linux/Unix
  • Plesk for Windows

Information

Vom Google Sicherheitsteam wurde die Sicherheitslücke CVE-2014-3566 im SSLv3-Protokoll entdeckt. Von OpenSSL ist zusätzlich ein Whitepaper verfügbar, das die Sicherheitslücke beschreibt.

Sie können mithilfe des folgenden Skripts überprüfen, ob Ihr System von der Sicherheitslücke betroffen und somit anfällig ist. Geben Sie anstelle des Parameters die IP-Adresse Ihres Servers an:

# wget http://kb.odin.com/Attachments/kcs-40007/poodle.zip
# unzip poodle.zip
# chmod +x poodle.sh
# for i in `echo 21 587 443 465 7081 8443 993 995 `; do /bin/sh /root/poodle.sh <IP> $i; done

Lösung

Damit der oben beschriebene Angriff ausgeführt werden kann, muss eine SSL-3.0-Verbindung aufgebaut werden. Somit kann durch Deaktivierung des SSL-3.0-Protokolls im Client oder im Server (oder beidem) ein potenzieller Angriff abgewehrt werden.

Die Betriebssystemhersteller haben folgende Sicherheitshinweise veröffentlicht, um auf verschiedene kürzlich entdeckte OpenSSL-Sicherheitslücken einzugehen:

Debian

RedHat

Ubuntu

CentOS

Bitte beachten Sie, dass die hier aufgelisteten Updates die POODLE-Sicherheitslücke nicht beheben. Sie wenden lediglich die Option TLS_FALLBACK_SCSV an, um zu verhindern, dass ein Rückfall auf SSLv3 ausgelöst wird und bieten darüber hinaus Patches für verschiedene andere Sicherheitslücken.

Es wird dringend empfohlen, das openssl-Paket zu aktualisieren.

Die beste Option ist daher, die SSLv3-Unterstützung zu deaktivieren.

Sie können spezielle Skripts (siehe unten) verwenden, um SSLv3 für alle Services zu deaktivieren:

  • für Linux - deaktiviert Apache, nginx, proftpd, courier-imap, qmail, postfix, dovecot, Plesk Server-Modul (für die Versionen 11.5 und höher).
  • für Windows - deaktiviert SSLv3 serverweit. (ACHTUNG: Es wird ein Serverneustart erforderlich sein).

Nachfolgend finden Sie Anleitungen zum Deaktivieren von SSLv3 für jeden Service. Diese Anleitungen gelten auch, wenn Ihr Server bereits mit pci_compliance_resolver gepatcht wurde.

Plesk Service

Da Plesk das gleiche SSL-Modul nutzt, sollte der Service sw-cp-server ebenfalls so konfiguriert werden, dass vor der SSLv3-Sicherheitslücke geschützt wird.

HINWEIS: Im Falle der Verwendung von Customer and Business Manager siehe Artikel Nr. 123706

Plesk 11.5 und höher

Bearbeiten Sie '/etc/sw-cp-server/config'. Fügen Sie im Abschnitt http Folgendes hinzu:

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Führen Sie einen Neustart aus:

    sudo service sw-cp-server restart

Plesk 11.0

Bearbeiten /usr/local/psa/admin/conf/ssl-conf.sh: Fügen Sie echo 'ssl.use-sslv3 = "disable"' nach der Anweisung echo 'ssl.use-sslv2 = "disable"' hinzu. Die Datei sollte wie folgt aussehen:

    echo 'ssl.engine = "enable"'
    echo 'ssl.use-sslv2 = "disable"'
    echo 'ssl.use-sslv3 = "disable"'

Führen Sie einen Neustart aus:

    sudo service sw-cp-server restart

Plesk 9.x und 10.x

Die Lösung für das "sw-cp-server"-Back-End in Plesk 10.x ist, die Liste der verfügbaren Verschlüsselungsverfahren in der Datei "/usr/local/psa/admin/conf/cipher.lst" zu modifizieren, sodass sie wie folgt aussieht (ohne Zeilenumbrüche):

ECDHE-ECDSA-CAMELLIA256-SHA384 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-RSA-CAMELLIA256-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-SHA DHE-DSS-CAMELLIA256-SHA DHE-DSS-AES256-GCM-SHA384 DHE-DSS-AES256-SHA256 DHE-DSS-AES256-SHA DHE-RSA-CAMELLIA256-SHA DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-SHA256 DHE-RSA-AES256-SHA ECDHE-ECDSA-CAMELLIA128-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-CAMELLIA128-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA

Nach der Modifizierung der Datei "/usr/local/psa/admin/conf/cipher.lst" starten Sie das Back-End neu:

    sudo service sw-cp-server restart

Plesk 8.6.0 und älter

Parallels Plesk 8.6 verwendet Apache als Back-End für das Control Panel.

Fügen Sie folgende Zeile zur Datei "/usr/local/psa/admin/conf/httpsd.conf" hinzu:

SSLProtocol All -SSLv2 -SSLv3

Starten Sie anschließend das Control Panel neu:

sudo service psa restart

Apache HTTPD-Server

Wenn Sie Apache nutzen, müssen Sie Ihre Apache Konfigurationsdatei ändern (nachfolgend sind die Standardspeicherorte aufgelistet):

RedHat/CentOS /etc/httpd/conf.d/ssl.conf

Debian/Ubuntu /etc/apache2/mods-available/ssl.conf

SuSE/etc/apache2/ssl-global.conf

Fügen Sie folgende Zeile in Ihrer Apache Konfigurationsdatei zu den anderen SSL-Anweisungen hinzu bzw. bearbeiten Sie sie:

SSLProtocol All -SSLv2 -SSLv3

Führen Sie den nachfolgenden Befehl aus, um die SSL-Einstellungen im PCI Compliance Template zu ändern.

# mkdir -p /usr/local/psa/admin/conf/templates/custom/
# mkdir -p /usr/local/psa/admin/conf/templates/custom/server/
# cp /usr/local/psa/admin/conf/templates/pci_compliance/server/PCI_compliance.php /usr/local/psa/admin/conf/templates/custom/server/
# sed -i 's/SSLProtocol -ALL +SSLv3 +TLSv1/SSLProtocol All -SSLv2 -SSLv3/g' /usr/local/psa/admin/conf/templates/custom/server/PCI_compliance.php

Starten Sie anschließend den Apache Webserver neu:

/usr/local/psa/admin/bin/websrvmng -r

Nginx Server

Sollten Sie nginx ausführen, fügen Sie folgende Zeile in Ihrer Konfiguration zu den anderen SSL-Anweisungen in der Datei /etc/nginx/nginx.conf hinzu:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Außerdem für alle Websites in Plesk 11.0 für Linux:

# mkdir -p /usr/local/psa/admin/conf/templates/custom/
# mkdir -p /usr/local/psa/admin/conf/templates/custom/domain/
# cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain/

# sed -i 's/ssl_protocols               SSLv2 SSLv3 TLSv1;/ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;/g' /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php

Für alle Websites in Plesk 11.5 für Linux:

# mkdir -p /usr/local/psa/admin/conf/templates/custom/
# mkdir -p /usr/local/psa/admin/conf/templates/custom/domain/
# cp /usr/local/psa/admin/conf/templates/default/nginxWebmailPartial.php /usr/local/psa/admin/conf/templates/custom/
# cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain/

# sed -i 's/ssl_protocols               SSLv2 SSLv3 TLSv1;/ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;/g' /usr/local/psa/admin/conf/templates/custom/nginxWebmailPartial.php
# sed -i 's/ssl_protocols               SSLv2 SSLv3 TLSv1;/ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;/g' /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php

Für alle Websites in Plesk 12.0 für Linux:

# mysqldump -uadmin -p`cat /etc/psa/.psa.shadow` psa > psa_backup.sql
# mysql -uadmin -p`cat /etc/psa/.psa.shadow` psa
mysql> insert into misc values('disablesslv3', 'true');

Konfigurieren Sie anschließend Apache und Nginx neu:

# /usr/local/psa/admin/bin/httpdmng --reconfigure-all

Verweis: Technische Dokumentation zu nginx

Dovecot IMAP/POP3-Server

Schließen Sie folgende Zeile in /etc/dovecot/dovecot.conf

ssl_protocols = !SSLv2 !SSLv3

Starten Sie den Service neu:

    sudo service dovecot restart

Courier IMAP

Bearbeiten Sie die folgenden Dateien:

/etc/courier-imap/pop3d-ssl

/etc/courier-imap/imapd-ssl

Fügen Sie die Anweisung TLS_PROTOCOL und TLS_CIPHER_LIST hinzu bzw. modifizieren Sie sie, sodass sie wie folgt aussehen:

TLS_PROTOCOL=TLSv1+
TLS_CIPHER_LIST="ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS" 

Starten Sie die Services neu:

    sudo service courier-imaps restart
    sudo service courier-pop3s restart

Postfix SMTP

Beim opportunistischen SSL-Modus (Verschlüsselungsrichtlinie nicht erzwungen und Text ohne Verschlüsselung zulässig) müssen Sie keine Änderungen vornehmen. Da auch SSLv2 besser als keine Verschlüsselung ist, sollten Sie, wenn Sie Ihren Server schützen müssen, ohnehin den Modus für obligatorisches SSL verwenden.

Wenn Sie dennoch SSLv3 für die opportunistische Verschlüsselung deaktivieren wollen, müssen Sie Folgendes hinzufügen/ändern:

smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

Wenn der Modus für obligatorisches SSL bereits konfiguriert ist, müssen Sie lediglich die Einstellung smtpd_tls_mandatory_protocols hinzufügen/ändern. Fügen Sie die folgende Zeichenfolge zur Datei /etc/postfix/main.cf hinzu:

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

Starten Sie Postfix anschließend neu:

sudo service postfix restart

Sie können über folgenden Befehl überprüfen, ob SSLv3 deaktiviert ist:

openssl s_client -connect  localhost:465 -ssl3

Wenn ihr System NICHT anfällig ist (SSLv3 deaktiviert), erscheint in etwa folgendes Ergebnis:

CONNECTED(00000003)
139808606107464:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1257:SSL alert number 40
139808606107464:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:

Sollte Ihr System hingegen DOCH anfällig sein, sollten Sie eine normale Verbindungsausgabe mit folgender Zeile sehen:

CONNECTED(00000003)
220 mail.example.com ESMTP Postfix
DONE

Qmail MTA

Erstellen (oder bearbeiten) Sie die Datei /var/qmail/control/tlsserverciphers, sodass sie wie folgt aussieht:

ALL:!ADH:!LOW:!SSLv2:!SSLv3:!EXP:+HIGH:+MEDIUM

Hinweis: Durch das Deaktivieren der SSLv3-Chiffre führt dazu, dass 465 (TLS) nicht mehr in Thunderbird verwendet werden kann.

ProFTPD Server

Erstellen und bearbeiten Sie die Datei /etc/proftpd.d/60-nosslv3.conf: Fügen Sie folgende Zeilen hinzu:

<IfModule mod_tls.c>
TLSProtocol TLSv1
TLSCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
</IfModule>

Stellen Sie anschließend sicher, dass die erstellte Konfigurationsdatei in der proftpd-Konfiguration enthalten ist. Sollte sie fehlen, fügen Sie die folgende Zeile in /etc/proftpd.conf hinzu:

Include /etc/proftpd.d/*.conf

Starten Sie anschließend den Service-Daemon neu:

service xinetd restart

Microsoft Internet Information Services

Es gibt einen offiziellen Artikel der Microsoft Wissensdatenbank über die Deaktivierung bestimmter Protokolle in IIS: Deaktivieren von PCT 1.0, SSL 2.0, SSL 3.0 oder TLS 1.0 in Internet Information Services

Microsoft Windows Server speichert Informationen über sicherheitsoptimierte Channelprotokolle, die von Windows Server unterstützt werden. Diese Informationen werden im Registrierungsschlüssel gespeichert.

  1. Klicken Sie auf "Start" und auf "Ausführen", geben Sie regedt32 oder regedit ein und klicken Sie anschließend auf "OK".

  2. Suchen Sie im Registrierungseditor folgenden Registrierungsschlüssel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
    
  3. Klicken Sie im Menü "Bearbeiten" auf "Wert hinzufügen".

  4. Klicken Sie in der Liste "Datentyp" auf DWORD.

  5. Im Feld "Wertname" geben Sie "Aktiviert" ein und klicken dann auf "OK".

    Hinweis: Falls dieser Wert bereits vorhanden ist, klicken Sie ihn doppelt an, um ihn zu bearbeiten.

  6. Geben Sie 00000000 im Binär-Editor ein, um den Wert des neuen Schlüssels auf "0" zu setzen.

  7. Klicken Sie auf "OK". Starten Sie den Computer neu.

33a70544d00d562bbc5b17762c4ed2b3 caea8340e2d186a540518d08602aa065 e0aff7830fa22f92062ee4db78133079 56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 85a92ca67f2200d36506862eaa6ed6b8

Email subscription for changes to this article
Save as PDF