Article ID: 123160, created on Oct 17, 2014, last review on Mar 31, 2016

  • Applies to:
  • Plesk Automation 11.5
  • Plesk for Linux/Unix
  • Plesk for Windows

Informazione

È stata rilevata una vulnerabilità CVE-2014-3566 nel protocollo SSLv3 dal Google security team. È disponibile anche un whitepaper aggiuntivo da OpenSSL dove si trovano le descrizioni di questa vulnerabilità.

Per verificare se esistono vulnerabilità si può utilizzare il seguente script. Per il parametro, indica l'IP del tuo server:

# wget http://kb.odin.com/Attachments/kcs-40007/SSLfix.zip
# unzip SSLfix.zip
# chmod +x SSLfix.sh
# for i in `echo 21 587 443 465 7081 8443 993 995 `; do /bin/sh /root/SSLfix.sh <IP> $i; done

Risoluzione

L'attacco sopra descritto richiede che sia stabilita una connessione SSL 3.0, per cui disabilitare il protocollo SSL 3.0 nel client o nel server (o entrambi) eviterà un possibile attacco.

I produttori dei sistemi operativi (SO) hanno rilasciato i seguenti consigli di sicurezza per fare fronte alle diverse recenti vulnerabilità OpenSSL:

Debian

RedHat

Ubuntu

CentOS

Tieni presente che gli aggiornamenti elencati qui in realtà non risolvono l'attacco POODLE - ma utilizzano solo l'opzione TLS_FALLBACK_SCSV per evitare l'attivazione di un fallback a SSLv3 e offrono soluzioni per il resto delle vulnerabilità.

Si consiglia fortemente di aggiornare il pacchetto openssl.

La migliore soluzione è disabilitare il supporto SSLv3.

Puoi usare gli script speciali sotto per disabilitare SSLv3 per tutti i servizi:

  • per Linux - disabilita Apache, nginx, proftpd, courier-imap, qmail, postfix, dovecot, motore del server Plesk (per le versioni 11.5 e successive).
  • per Windows - Disabilita SSLv3 in tutto il server (ATTENZIONE: Sarà richiesto il riavvio del server).

Vedi le istruzioni seguenti su come disabilitare SSLv3 per ogni servizio. Le stesse istruzioni si applicano se il server è già stato corretto con pci_compliance_resolver

Servizio Plesk

Siccome Plesk utilizza lo stesso motore SSL, il servizio sw-cp-server deve essere configurato per la protezione contro la vulnerabilità SSLv3.

NOTA: Se usi Customer and Business Manager, leggi l'articolo #123706

Plesk 11.5 e versioni successive

Modifica '/etc/sw-cp-server/config'. Nella sezione http, aggiungi:

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Riavvio:

    sudo service sw-cp-server restart

Plesk 11.0

Modifica /usr/local/psa/admin/conf/ssl-conf.sh, aggiungendo echo 'ssl.use-sslv3 = "disable"' dopo la direttiva echo 'ssl.use-sslv2 = "disable"'. L'aspetto del file deve essere quello seguente:

    echo 'ssl.engine = "enable"'
    echo 'ssl.use-sslv2 = "disable"'
    echo 'ssl.use-sslv3 = "disable"'

Riavvio:

    sudo service sw-cp-server restart

Plesk 9.x e 10.x

La soluzione per il backend sw-cp-server in Plesk 10.x è modificare l'elenco di CIPHERS disponibili nel file /usr/local/psa/admin/conf/cipher.lst perché abbia l'aspetto seguente, senza interruzioni di riga:

ECDHE-ECDSA-CAMELLIA256-SHA384 ECDHE-ECDSA-AES256-GCM-SHA384 ECDHE-ECDSA-AES256-SHA384 ECDHE-ECDSA-AES256-SHA ECDHE-RSA-CAMELLIA256-SHA384 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-SHA DHE-DSS-CAMELLIA256-SHA DHE-DSS-AES256-GCM-SHA384 DHE-DSS-AES256-SHA256 DHE-DSS-AES256-SHA DHE-RSA-CAMELLIA256-SHA DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-SHA256 DHE-RSA-AES256-SHA ECDHE-ECDSA-CAMELLIA128-SHA256 ECDHE-ECDSA-AES128-GCM-SHA256 ECDHE-ECDSA-AES128-SHA256 ECDHE-ECDSA-AES128-SHA ECDHE-RSA-CAMELLIA128-SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA

Dopo che il file /usr/local/psa/admin/conf/cipher.lst sia stato modificato, riavvia il backend:

    sudo service sw-cp-server restart

Plesk 8.6.0 e le versioni precedenti

Parallels Plesk 8.6 usa Apache come backend per il pannello di controllo.

Aggiungi la seguente riga al file /usr/local/psa/admin/conf/httpsd.conf:

SSLProtocol All -SSLv2 -SSLv3

Quindi, riavvia il pannello di controllo:

sudo service psa restart

Server HTTPD Apache

Se stai eseguendo Apache, cambia il file di configurazione di Apache (sotto sono elencate i percorsi predefiniti):

RedHat/CentOS /etc/httpd/conf.d/ssl.conf

Debian/Ubuntu /etc/apache2/mods-available/ssl.conf

SuSE /etc/apache2/ssl-global.conf

Includi o cambia la seguente riga nel file di configurazione Apache tra le altre direttive SSL:

SSLProtocol All -SSLv2 -SSLv3

Esegui il seguente comando per ambiare le impostazioni SSL nel modello di Conformità PCI.

# mkdir -p /usr/local/psa/admin/conf/templates/custom/
# mkdir -p /usr/local/psa/admin/conf/templates/custom/server/
# cp /usr/local/psa/admin/conf/templates/pci_compliance/server/PCI_compliance.php /usr/local/psa/admin/conf/templates/custom/server/
# sed -i 's/SSLProtocol -ALL +SSLv3 +TLSv1/SSLProtocol All -SSLv2 -SSLv3/g' /usr/local/psa/admin/conf/templates/custom/server/PCI_compliance.php

Quindi riavvia il server web Apache:

/usr/local/psa/admin/bin/websrvmng -r

Server Nginx

Se Nginx è in esecuzione, includi la seguente riga nella tua configurazione tra le altre direttive SSL in /etc/nginx/nginx.conf:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Inoltre, per tutti i siti in Plesk 11.0 per Linux:

# mkdir -p /usr/local/psa/admin/conf/templates/custom/
# mkdir -p /usr/local/psa/admin/conf/templates/custom/domain/
# cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain/

# sed -i 's/ssl_protocols               SSLv2 SSLv3 TLSv1;/ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;/g' /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php

Per tutti i siti in Plesk 11.5 per Linux:

# mkdir -p /usr/local/psa/admin/conf/templates/custom/
# mkdir -p /usr/local/psa/admin/conf/templates/custom/domain/
# cp /usr/local/psa/admin/conf/templates/default/nginxWebmailPartial.php /usr/local/psa/admin/conf/templates/custom/
# cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain/

# sed -i 's/ssl_protocols               SSLv2 SSLv3 TLSv1;/ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;/g' /usr/local/psa/admin/conf/templates/custom/nginxWebmailPartial.php
# sed -i 's/ssl_protocols               SSLv2 SSLv3 TLSv1;/ssl_protocols               TLSv1 TLSv1.1 TLSv1.2;/g' /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php

Per tutti i siti in Plesk 12.0 per Linux:

# mysqldump -uadmin -p`cat /etc/psa/.psa.shadow` psa > psa_backup.sql
# mysql -uadmin -p`cat /etc/psa/.psa.shadow` psa
mysql> insert into misc values('disablesslv3', 'true');

Quindi, riconfigura Apache e Nginx:

# /usr/local/psa/admin/bin/httpdmng --reconfigure-all

Riferimento: Documentazione Nginx

Server IMAP/POP3 Dovecot

Includere la riga seguente in /etc/dovecot/dovecot.conf

ssl_protocols = !SSLv2 !SSLv3

Riavvia il servizio:

    sudo service dovecot restart

Courier IMAP

Modifica i file seguenti:

/etc/courier-imap/pop3d-ssl

/etc/courier-imap/imapd-ssl

Aggiungi o modifica le direttive TLS_PROTOCOL e TLS_CIPHER_LIST perché abbiano il seguente aspetto:

TLS_PROTOCOL=TLSv1+
TLS_CIPHER_LIST="ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS" 

Riavvia i servizi:

    sudo service courier-imaps restart
    sudo service courier-pop3s restart

Postfix SMTP

Per 'opportunistic SSL' (dove la politica di crittografia non è obbligatoria e il testo semplice è accettabile), non è necessario apportare alcuna modifica. Anche SSLv2 è migliore di semplice, per cui se si ha bisogno di proteggere il server, si consiglia di utilizzare comunque la modalità 'SSL obbligatoria'.

Se desideri comunque disabilitare SSLv3 per la crittografia opportunista, aggiungi/cambia:

smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

Se la modalità 'SSL obbligatorio' è già configurata, aggiungi/modifica l'impostazione smtpd_tls_mandatory_protocols. Aggiungi la seguente riga al file /etc/postfix/main.cf:

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

Quindi riavvia Postfix:

sudo service postfix restart

È possibile verificare se SSLv3 è disabilitato usando il seguente comando:

openssl s_client -connect  localhost:465 -ssl3

Se NON ci sono vulnerabilità (SSLv3 è disabilitato), l'output dovrebbe essere simile a questo:

CONNECTED(00000003)
139808606107464:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1257:SSL alert number 40
139808606107464:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:

Se si verificano vulnerabilità, verranno visualizzati output di connessione normali, includendo la riga:

CONNECTED(00000003)
220 mail.example.com ESMTP Postfix
DONE

Qmail MTA

Crea (o modifica) il file /var/qmail/control/tlsserverciphers affinché abbia il seguente aspetto:

ALL:!ADH:!LOW:!SSLv2:!SSLv3:!EXP:+HIGH:+MEDIUM

Nota: disabilitare la crittografia SSLv3 porta all'impossibilità di usare 465 (TLS) in Thunderbird.

Server ProFTPD

Crea e modifica il file /etc/proftpd.d/60-nosslv3.conf aggiungendo le righe seguenti:

<IfModule mod_tls.c>
TLSProtocol TLSv1
TLSCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
</IfModule>

Quindi accertati che il file di configurazione creato sia incluso nella configurazione proftpd. Se fosse mancante, aggiungi a /etc/proftpd.conf la riga seguente:

Include /etc/proftpd.d/*.conf

Quindi riavvia il daemon del servizio:

service xinetd restart

Microsoft Internet Information Services

Esiste un articolo della base di conoscenza ufficiale Microsoft sulla disabilitazione di determinati protocolli in IIS: Come disabilitare PCT 1.0, SSL 2.0, SSL 3.0 o TLS 1.0 in Internet Information Services

Microsoft Windows Server salva informazione sui differenti protocolli del canale di sicurezza ottimizzata che supporta il Server Windows. Tale informazione viene salvata nella chiave del registro.

  1. Fai clic su Start, poi su Esegui, digita regedt32 o regedit, quindi scegli OK.

  2. In Registry Editor, trova la seguente chiave di registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
    
  3. Sul menu Modifica, fai clic su Aggiungi valore.

  4. Nella lista Tipo di dati fare clic su DWORD.

  5. Nella casella Nome del valore, digita Abilitato, quindi scegli OK.

    Nota: Se questo valore è presente, fai doppio clic per modificarlo.

  6. Digita 00000000 in Binary Editor per impostare il valore della nuova chiave pari a "0".

  7. Fai clic su OK.Riavvia il computer.

33a70544d00d562bbc5b17762c4ed2b3 caea8340e2d186a540518d08602aa065 e0aff7830fa22f92062ee4db78133079 56797cefb1efc9130f7c48a7d1db0f0c a914db3fdc7a53ddcfd1b2db8f5a1b9c 29d1e90fd304f01e6420fbe60f66f838 85a92ca67f2200d36506862eaa6ed6b8

Email subscription for changes to this article
Save as PDF