Нужно ли заменять ключи для OpenSSH в ответ на Heartbleed?

Question

Нужно ли заменять ключи для OpenSSH в ответ на Heartbleed?

Я уже обновил свои серверы патчами.

Нужно ли восстанавливать какие-либо закрытые ключи в отношении OpenSSH? Я знаю, что я должен восстановить любые сертификаты SSL.

РЕДАКТИРОВАТЬ: Я не сказал это достаточно точно. Я знаю, что уязвимость в openssl, но я спрашивал, как это влияет на openssh и нужно ли мне заново генерировать ключи хоста openssh.

9

ssh heartbleed

Источник

Olly 08 апр '14 в 10:11

4 ответа

Другие вопросы по тегам ssh heartbleed

faker 08 апр '14 в 10:16 2014-04-08 10:16 · Answer 1 · 2014-04-08 10:16

Уязвимость не влияет openssh это влияет openssl,
Какая библиотека используется многими сервисами - в том числе openssh,

На данный момент ясно, что openssh Эта уязвимость не подвержена влиянию уязвимости, поскольку OpenSSH использует протокол SSH, а не уязвимый протокол TLS. Маловероятно, что ваш закрытый ключ ssh находится в памяти и может быть прочитан уязвимым процессом - не невозможно, но маловероятно.

Конечно, вы все равно должны обновить свой openssl версия.
Обратите внимание, что если вы обновили openssl Вам также необходимо перезапустить все сервисы, которые его используют.
Это включает в себя программное обеспечение, как VPN-сервер, веб-сервер, почтовый сервер, балансировщик нагрузки,...

Olly 08 апр '14 в 10:47 2014-04-08 10:47 · Answer 2 · 2014-04-08 10:47

Таким образом, кажется, что SSH не затронут:

Как правило, это затрагивает вас, если вы запускаете какой-либо сервер, на котором в какой-то момент вы сгенерировали ключ SSL. На типичных конечных пользователей это не влияет (напрямую). SSH не затрагивается. Распространение пакетов Ubuntu не затронуто (оно опирается на подписи GPG).

Источник: спросите Ubuntu: Как установить исправление CVE-2014-0160 в OpenSSL?

Jeremy French 09 апр '14 в 12:54 2014-04-09 12:54 · Answer 3 · 2014-04-09 12:54

В отличие от того, что здесь говорили другие, Шнайер говорит, что да.

По сути, злоумышленник может получить 64 КБ памяти с сервера. Атака не оставляет следов и может быть проведена несколько раз, чтобы захватить другую случайную 64 КБ памяти. Это означает, что что-либо в памяти - приватные ключи SSL, пользовательские ключи, что угодно - уязвимо. И вы должны предположить, что все это скомпрометировано. Все это.

Дело не в том, что ssh (любой тип) был напрямую затронут, а в том, что ключи ssh могут быть сохранены в памяти и доступ к памяти. Это касается всего, что хранится в памяти, и считается секретным.

Denis Witt 08 апр '14 в 19:57 2014-04-08 19:57 · Answer 4 · 2014-04-08 19:57

OpenSSH не использует расширение сердцебиения, поэтому OpenSSH не затрагивается. Ваши ключи должны быть в безопасности, пока их не запомнил процесс OpenSSL, использующий сердцебиение, но обычно это маловероятно.

Так что если вы / должны быть немного параноиком, замените их, если нет, вы можете спать относительно хорошо без этого.