GNU/Linux >> Tutoriels Linux >  >> Linux

Comment réparer la vulnérabilité DROWN dans le serveur Web Apache/NGINX et SMTP ?

Voici une dernière vulnérabilité appelée DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) qui vise à attaquer les serveurs utilisant le protocole SSL version 2.0 (SSLv2) faible pour HTTPs, SMTP, IMAP, POP etc… Fondamentalement, tout service qui utilise SSL/TLS est soumis à être vulnérable sur SSLv2 . DROWN permet à un attaquant de déchiffrer la communication (en obtenant la clé privée) chiffrée à l'aide d'un certificat SSL basé sur RSA, si suffisamment de données de poignée de main SSLv2 peuvent être collectées. Le DROWN peut affecter directement les serveurs utilisant un protocole SSLv2 faible, cependant, il nécessite environ 1 000 établissements de liaison SSL pour être intercepté.

Comment tester votre serveur contre la vulnérabilité DROWN ?

Accédez rapidement à ce lien pour tester votre serveur contre l'attaque de vulnérabilité DROWN.

Voici une interface Web, où vous pouvez saisir l'adresse de votre site Web et cliquer sur le bouton "Vérifier la vulnérabilité DROWN".

Comment réparer la vulnérabilité DROWN sur les serveurs Web Apache et Nginx ?

Dans Apache : 

$ sudo vim /etc/httpd/conf/httpd.conf

(ou)

$ sudo vim /etc/httpd/conf.d/ssl.conf

et ajoutez -SSLv2 et -SSLv3 comme indiqué ci-dessous :

SSLProtocol all -SSLv2 -SSLv3

Remarque : Le paramètre ci-dessus recommande de désactiver à la fois SSLv2 et SSLv3. Bien que SSLv3 ne soit pas vulnérable à l'attaque DROWN, il est fortement recommandé de désactiver SSLv3 car il est vulnérable à d'autres types d'attaques.

Redémarrez le serveur Web :

$ sudo /etc/init.d/httpd restart

Dans Nginx : 

$ sudo vim /etc/nginx/nginx.conf

Recherchez la ligne ci-dessous :

ssl_protocols SSLv2 SSLv3 TLSv1 TLSv1.1 TLSv1.2;

et supprimer SSLv2 et SSLv3 comme indiqué ci-dessous :

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Redémarrez le service Nginx.

Comment réparer la vulnérabilité DOWN dans SMTP – Postfix ?

$ sudo vim /etc/postfix/master.cf

et définissez les lignes suivantes. Ici, le (!) supprime les protocoles SSLv2 et SSLv3.

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

Remarque :N'oubliez pas d'effectuer cette modification dans chaque service utilisant SSL.

Mettez également à jour OpenSSL vers la dernière version :

# yum update openssl*

Linux

  1. Comment configurer un serveur Web Apache

  2. Qu'est-ce qu'un serveur Web et comment fonctionne un serveur Web ?

  3. Comment démarrer, redémarrer et arrêter le serveur Web Apache

  4. Comment installer et configurer le serveur Web Apache sur Ubuntu 13.10

  5. Comment tester la vulnérabilité d'attaque SSLv2 DROWN à l'aide d'un script Python (et une solution pour corriger l'attaque DROWN sur Apache et NginX)

Comment héberger un site Web sur un serveur Web Apache

Comment changer le port WordPress dans Apache et Nginx

Comment installer le serveur Web Nginx sur Alpine Linux

Comment ajouter la prise en charge de PHP-FPM sur Apache et Nginx Web Server sur Ubuntu 18.04

Comment configurer le cache Nginx sur un serveur LAMP

Comment installer et configurer un serveur Web LAMP sur Ubuntu 18.04