Pentru a aplica aceste modificari care va protejeaza asupra vulnerabilitatii SSL/TLS CBC trebuie sa aveti drept de root si sa accesati severul prin SSH.
1.Va recomandam ca inainte de modificari sa faceti o copie backup pentru aceste fisiere :
for configFile in /var/cpanel/conf/pureftpd/main /var/cpanel/templates/apache2/main.local /var/cpanel/cpanel.config /usr/local/cpanel/etc/stunnel/default/stunnel.conf /etc/exim.conf.local /usr/lib/courier-imap/etc/imapd-ssl /usr/lib/courier-imap/etc/pop3d-ssl; do cp -frp $configFile{,.backup}; done
2. Pentru Pure-FTP editati fisierul /var/cpanel/conf/pureftpd/main
Inlocuiti linia :
TLSCipherSuite: ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM:!SSLv2
Cu:
TLSCipherSuite: "!aNULL:!eNULL:!EXPORT:!DSS:!DES:RC4-SHA:RC4-MD5"
Rulati urmatoarea comanda:
/usr/local/cpanel/whostmgr/bin/whostmgr2 doftpconfiguration && service pure-ftpd restart
Puteti testa cu urmatoarea comanda :
3. Pentru Apache editati fisierul /var/cpanel/templates/apache2/main.local
Inlocuiti liniiile:
[% IF supported.mod_ssl -%]
# SSLCipherSuite can be set in WHM under 'Apache Global Configuration'
[% IF main.sslciphersuite.item.sslciphersuite.length %]SSLCipherSuite [% main.sslciphersuite.item.sslciphersuite %][% END %]
SSLProtocol -ALL +SSLv3 +TLSv1
Cu:
[% IF supported.mod_ssl -%]
SSLProtocol -ALL -SSLv2 +SSLv3 +TLSv1
SSLHonorCipherOrder on
SSLCipherSuite !aNULL:!eNULL:!EXPORT:!DSS:!DES:RC4-SHA:RC4-MD5
Rulati comenzile pentru a face modificarile active si reporniti Apache
/scripts/rebuildhttpdconf && service httpd stop && service httpd start
Puteti testa folosind urmatoarele comenzi :
openssl s_client -connect example.com:443 -ssl3
openssl s_client -connect example.com:443 -tls1
4. Pentru cPanel editati fisierul /var/cpanel/cpanel.config
Inlocuit linia nativessl=1 cu nativessl=0
Pentru stunnel editati /usr/local/cpanel/etc/stunnel/default/stunnel.conf
Modificati linia :
# Authentication stuff
Cu:
# Authentication stuff
options = NO_SSLv2
ciphers = !aNULL:!eNULL:!EXPORT:!DSS:!DES:RC4-SHA:RC4-MD5
Rulati urmatoarea comanda:
service cpanel restart
Puteti testa ruland urmatoarele comenzi :
openssl s_client -connect localhost:2083 -ssl3
openssl s_client -connect localhost:2083 -tls1
openssl s_client -connect localhost:2087 -ssl3
openssl s_client -connect localhost:2087 -tls1
5. Pentru Exim(SMTP) editati fisierul /etc/exim.conf.local
Inlocuiti linia :
tls_require_ciphers = ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM:!SSLv2
Cu :
tls_require_ciphers = -ALL:!SSLv2:!aNULL:!eNULL:!EXPORT:!DSS:!DES:RC4-SHA:RC4-MD55
Rulati urmatoarea comanda pentru a restarta Exim
/scripts/buildeximconf && service exim restart
Puteti testa ruland urmatoarele comenzi :
openssl s_client -connect localhost:465 -ssl3
6. Pentru Courier (IMAP) editati fisierul /usr/lib/courier-imap/etc/imapd-ssl
Inlocuiti linia :
TLS_CIPHER_LIST=ALL:!SSLv2:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH
Cu:
TLS_CIPHER_LIST=-ALL:!SSLv2:!ADH:!aNULL:!eNULL:!EXPORT:!DSS:!DES:RC4-SHA:RC4-MD5
Pentru Courier(POP3) editati fisierul /usr/lib/courier-imap/etc/pop3d-ssl
Inlocuiti linia :
TLS_CIPHER_LIST=ALL:!SSLv2:!ADH:!NULL:!EXPORT:!DES:!LOW:@STRENGTH
Cu:
TLS_CIPHER_LIST=-ALL:!SSLv2:!ADH:!aNULL:!eNULL:!EXPORT:!DSS:!DES:RC4-SHA:RC4-MD5
Rulati comanda:
service courier-authlib restart && service courier-imap stop && service courier-imap start
Testati :
openssl s_client -connect localhost:993 -ssl3
openssl s_client -connect localhost:993 -tls1
openssl s_client -connect localhost:995 -ssl3
openssl s_client -connect localhost:995 -tls1
