Article ID: 123160, created on Oct 17, 2014, last review on Mar 31, 2016

  • Applies to:
  • Plesk Automation 11.5
  • Plesk for Linux/Unix
  • Plesk for Windows

Información

Los investigadores de Google han detectado una vulnerabilidad CVE-2014-3566 en el protocolo SSL 3.0. En este whitepaper de OpenSSL puede obtener más información acerca de este exploit.

Puede comprobar si es vulnerable a este exploit a través del script que se muestra a continuación. En el caso del parámetro , especifique la dirección IP de su servidor:

# wget http://kb.sp.parallels.com/Attachments/kcs-40007/poodle.zip
# unzip poodle.zip
# chmod +x poodle.sh
# for i in `echo 21 587 443 465 7081 8443 993 995 `; do /bin/sh /root/poodle.sh <IP> $i; done

Resolución

Como este ataque requiere el establecimiento de una conexión mediante SSL 3.0, la desactivación del protocolo SSL 3.0 en el cliente o en el servidor (o en ambos) minimizará el riesgo de verse afectado por este exploit.

Los proveedores de sistemas operativos han publicado los siguientes avisos de seguridad para las vulnerabilidades más recientes de OpenSSL:

Debian

RedHat

Ubuntu

CentOS

Tenga en cuenta que las actualizaciones aquí detalladas no corrigen la vulnerabilidad POODLE. Estas únicamente utilizan la opción TLS_FALLBACK_SCSV para impedir la verificación de un fallback en SSL 3.0, si bien cabe destacar que corrigen otras vulnerabilidades.

Es extremadamente recomendable actualizar el paquete openssl.

Lo más apropiado es desactivar el soporte de SSL 3.0.

Puede utilizar el script especial que se muestra a continuación para desactivar SSL 3.0 para todos los servicios:

  • Para Linux − Desactiva Apache, nginx, proftpd, courier-imap, qmail, postfix, dovecot, motor del servidor Plesk (en el caso de versiones 11.5 y versiones posteriores).
  • Para Windows − Desactiva SSL 3.0 a nivel del servidor (IMPORTANTE: será necesario reiniciar el servidor).

A continuación se detallan los pasos a realizar para desactivar SSL 3.0 para cada uno de los servicios. También puede realizar estos pasos si en su servidor ya ha aplicado el parche con pci_compliance_resolver.

Servicio Parallels Plesk

Como Plesk utiliza el mismo motor SSL, también debería configurarse el servicio sw-cp-server para así garantizar que está debidamente protegido frente a esta vulnerabilidad en SSL 3.0.

NOTA: si utiliza Customer & Business Manager, consulte este artículo de nuestra base de conocimiento.

Parallels Plesk 11.5 y versiones posteriores

Edite '/etc/sw-cp-server/config'. En la sección http añada lo siguiente:

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Reiniciar:

    sudo service sw-cp-server restart

Parallels Plesk 11.0

Edite /usr/local/psa/admin/conf/ssl-conf.sh, añadiendo echo 'ssl.use-sslv3 = "disable"' tras la directiva echo 'ssl.use-sslv2 = "disable"'. El archivo debería tener la siguiente apariencia:

    echo 'ssl.engine = "enable"'
    echo 'ssl.use-sslv2 = "disable"'
    echo 'ssl.use-sslv3 = "disable"'

Reiniciar:

    sudo service sw-cp-server restart

Parallels Plesk 9.x y Parallels Plesk 10.x

En el caso del backend sw-cp-server en Plesk 10.x, modifique la lista de CIPHERS disponibles en el archivo /usr/local/psa/admin/conf/cipher.lst para que tenga la apariencia que se muestra a continuación. Tenga en cuenta que no debe haber ningún salto de línea.

ECDHE-ECDSA-CAMELLIA256-SHA384 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-RSA-CAMELLIA256-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-SHA DHE-DSS-CAMELLIA256-SHA DHE-DSS-AES256-GCM-SHA384 DHE-DSS-AES256-SHA256 DHE-DSS-AES256-SHA DHE-RSA-CAMELLIA256-SHA DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-SHA256 DHE-RSA-AES256-SHA ECDHE-ECDSA-CAMELLIA128-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-CAMELLIA128-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA

Una vez modificado el archivo /usr/local/psa/admin/conf/cipher.lst, reinicie el backend:

    sudo service sw-cp-server restart

Parallels Plesk 8.6.0 y versiones anteriores

Parallels Plesk 8.6 utiliza Apache como backend para el panel de control.

Añada la siguiente línea al archivo /usr/local/psa/admin/conf/httpsd.conf:

SSLProtocol All -SSLv2 -SSLv3

A continuación, reinicie el panel de control:

sudo service psa restart

Servidor HTTPD Apache

Si está ejecutando Apache, modifique el archivo de configuración de Apache. A continuación puede ver las ubicaciones predeterminadas:

RedHat/CentOS /etc/httpd/conf.d/ssl.conf

Debian/Ubuntu /etc/apache2/mods-available/ssl.conf

SuSE /etc/apache2/ssl-global.conf

Incluya o modifique la siguiente línea en el archivo de configuración de Apache entre las demás directivas SSL:

SSLProtocol All -SSLv2 -SSLv3

Ejecute el siguiente comando para modificar la configuración SSL en la plantilla de conformidad PCI.

# mkdir -p /usr/local/psa/admin/conf/templates/custom/
# mkdir -p /usr/local/psa/admin/conf/templates/custom/server/
# cp /usr/local/psa/admin/conf/templates/pci_compliance/server/PCI_compliance.php /usr/local/psa/admin/conf/templates/custom/server/
# sed -i 's/SSLProtocol -ALL +SSLv3 +TLSv1/SSLProtocol All -SSLv2 -SSLv3/g' /usr/local/psa/admin/conf/templates/custom/server/PCI_compliance.php

A continuación, reinicie el servidor web Apache:

/usr/local/psa/admin/bin/websrvmng -r

Servidor Nginx

Si está ejecutando Nginx, incluya la siguiente línea en su configuración entre las demás directivas SSL en /etc/nginx/nginx.conf:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Adicionalmente, en el caso de todos los sitios en Parallels Plesk 11.0 para Linux:

# mkdir -p /usr/local/psa/admin/conf/templates/custom/
# mkdir -p /usr/local/psa/admin/conf/templates/custom/domain/
# cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain/

# sed -i 's/ssl_protocols               SSLv2 SSLv3 TLSv1;/ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;/g' /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php

Para todos los sitios en Parallels Plesk 11.5 para Linux:

# mkdir -p /usr/local/psa/admin/conf/templates/custom/
# mkdir -p /usr/local/psa/admin/conf/templates/custom/domain/
# cp /usr/local/psa/admin/conf/templates/default/nginxWebmailPartial.php /usr/local/psa/admin/conf/templates/custom/
# cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain/

# sed -i 's/ssl_protocols               SSLv2 SSLv3 TLSv1;/ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;/g' /usr/local/psa/admin/conf/templates/custom/nginxWebmailPartial.php
# sed -i 's/ssl_protocols               SSLv2 SSLv3 TLSv1;/ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;/g' /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php

Para todos los sitios en Parallels Plesk 12.0 para Linux:

# mkdir -p /usr/local/psa/admin/conf/templates/custom/
# mkdir -p /usr/local/psa/admin/conf/templates/custom/server/
# mkdir -p /usr/local/psa/admin/conf/templates/custom/domain/
# cp /usr/local/psa/admin/conf/templates/default/nginxWebmailPartial.php  /usr/local/psa/admin/conf/templates/custom/
# cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain/
# cp /usr/local/psa/admin/conf/templates/default/server/nginxVhosts.php /usr/local/psa/admin/conf/templates/custom/server/
# sed -i 's/ssl_protocols               SSLv2 SSLv3 TLSv1;/ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;/g' /usr/local/psa/admin/conf/templates/custom/nginxWebmailPartial.php
# sed -i 's/ssl_protocols               SSLv2 SSLv3 TLSv1;/ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;/g' /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php
# sed -i 's/ssl_protocols               SSLv2 SSLv3 TLSv1;/ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;/g' /usr/local/psa/admin/conf/templates/custom/server/nginxVhosts.php

A continuación, reconfigure Apache y Nginx :

# /usr/local/psa/admin/bin/httpdmng --reconfigure-all

Referencia - Documentación de Nginx

Servidor de IMAP/POP3 Dovecot

Incluya la siguiente línea en /etc/dovecot/dovecot.conf

ssl_protocols = !SSLv2 !SSLv3

Reinicie el servicio:

    sudo service dovecot restart

Courier IMAP

Edite las siguientes líneas:

/etc/courier-imap/pop3d-ssl

/etc/courier-imap/imapd-ssl

Añada o modifique las directivas TLS_PROTOCOL y TLS_CIPHER_LIST para que tengan la siguiente apariencia:

TLS_PROTOCOL=TLSv1+
TLS_CIPHER_LIST="ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS" 

Reinicie los servicios:

    sudo service courier-imaps restart
    sudo service courier-pop3s restart

Postfix SMTP

En el caso de SSL oportunista (donde no se aplica la directiva de cifrado y se acepta la directiva sin cifrar), no es necesario realizar ningún cambio. SSL 2.0 es mejor que la opción sin cifrar, por lo que si necesita proteger su servidor debería utilizar el modo 'SSL obligatorio' de todos modos.

Si aún así desea desactivar SSL 3.0 para cifrado oportunista, añada o modifique:

smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

En el caso de que el modo 'SSL obligatorio' ya se haya configurado, añada/modifique la opción smtpd_tls_mandatory_protocols. Añada la siguiente cadena al archivo /etc/postfix/main.cf:

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

A continuación, reinicie Postfix:

sudo service postfix restart

Puede comprobar si SSL 3.0 está desactivado ejecutando el siguiente comando:

openssl s_client -connect  localhost:465 -ssl3

Si no es vulnerable (SSL 3.0 está desactivado), debería obtener una salida similar a la siguiente:

CONNECTED(00000003)
139808606107464:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1257:SSL alert number 40
139808606107464:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:

Si es vulnerable, debería obtener una salida de conexión estándar, que incluya la siguiente línea:

CONNECTED(00000003)
220 mail.example.com ESMTP Postfix
DONE

Qmail MTA

Cree o edite el archivo /var/qmail/control/tlsserverciphers para que tenga la siguiente apariencia:

ALL:!ADH:!LOW:!SSLv2:!SSLv3:!EXP:+HIGH:+MEDIUM

Nota: la desactivación del cipher de SSL 3.0 hará que no sea posible utilizar 465 (TLS) en Thunderbird.

Servidor ProFTPD

Cree y edite el archivo /etc/proftpd.d/60-nosslv3.conf añadiendo las siguientes líneas:

TLSProtocol TLSv1 TLSv1.1 TLSv1.2
TLSCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM:!SSLv3

A continuación, reinicie el daemon de servicio:

service xinetd restart

Microsoft Internet Information Services

En la base de conocimiento de Microsoft puede consultar un artículo acerca de la desactivación de determinados protocolos en IIS:

How to disable PCT 1.0, SSL 2.0, SSL 3.0, or TLS 1.0 in Internet Information Services

Microsoft Windows Server almacena información acerca de distintos 'channel protocols' con mejoras de seguridad soportados por Windows Server. Dicha información se almacena en la clave del registro.

  1. Haga clic en Inicio, haga clic en Ejecutar e introduzca regedt32 o regedit. A continuación, haga clic en ACEPTAR.

  2. En el Editor del Registro, busque la siguiente clave de registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
    
  3. En el menú Editar, haga clic en Añadir Valor.

  4. En la lista Data Type, haga clic en DWORD.

  5. En la casilla Value Name, introduzca Enabled y haga clic en ACEPTAR.

    Nota: si este valor está presente, haga doble clic en el valor para editarlo.

  6. Introduzca 00000000 en el editor de ejecutables para establecer el valor de la nueva clave a "0".

  7. Haga clic en ACEPTAR. Reinicie el ordenador.

33a70544d00d562bbc5b17762c4ed2b3 caea8340e2d186a540518d08602aa065 e0aff7830fa22f92062ee4db78133079 56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 85a92ca67f2200d36506862eaa6ed6b8

Email subscription for changes to this article
Save as PDF