Tôi có cần thay thế khóa cho OpenSSH để đáp lại Heartbleed không?


9

Tôi đã cập nhật máy chủ của mình với các bản vá.

Tôi có cần tạo lại bất kỳ khóa riêng nào liên quan đến OpenSSH không? Tôi biết rằng tôi phải tạo lại bất kỳ chứng chỉ SSL nào.

EDIT: Tôi đã không từ này đủ chính xác. Tôi biết lỗ hổng bảo mật là trong openssl, nhưng tôi đã hỏi làm thế nào điều này tác động đến openssh, và liệu tôi có cần tạo lại các khóa máy chủ openssh không.


1
Trên thực tế, đây có thể là một bản sao của serverfault.com/questions/587329/ từ
mạo

Đoạn đầu tiên và thứ ba của bạn có vẻ mâu thuẫn.
một CVn

@faker Không thực sự - câu hỏi đó không giải quyết bất cứ điều gì về SSH ...
voretaq7

Câu hỏi liên quan: serverfault.com/questions/587433/
Mạnh

Câu trả lời:


5

Các lỗ hổng không ảnh hưởng đến opensshopenssl.
Đó là một thư viện được sử dụng bởi nhiều dịch vụ - bao gồm openssh.

Tại thời điểm này, dường như rõ ràng opensshlà không bị ảnh hưởng bởi lỗ hổng này, bởi vì OpenSSH sử dụng giao thức SSH, không phải giao thức TLS dễ bị tổn thương. Không chắc là khóa riêng ssh của bạn nằm trong bộ nhớ và có thể đọc được bởi một quá trình dễ bị tổn thương - không phải là không thể nhưng không thể.

Tất nhiên bạn vẫn phải cập nhật opensslphiên bản của bạn .
Lưu ý rằng nếu bạn cập nhật, opensslbạn cũng cần khởi động lại tất cả các dịch vụ đang sử dụng nó.
Điều đó bao gồm phần mềm như máy chủ VPN, máy chủ web, máy chủ thư, cân bằng tải, ...


1
Cần lưu ý: Có thể sử dụng cùng một phần khóa riêng cho Khóa riêng SSH Chứng chỉ SSL. Trong trường hợp này nếu khóa chứng chỉ SSL được sử dụng trên máy chủ web dễ bị tổn thương, bạn cũng cần phải thay thế Khóa riêng SSH bị ảnh hưởng. (Để khai thác điều này, ai đó sẽ cần phải biết bạn đang làm điều này hoặc suy nghĩ để thử nó - đó là một cấu hình RẤT khác thường trong trải nghiệm của tôi, vì vậy tôi nghi ngờ bất cứ ai sẽ nghĩ về nó). Tất cả những gì đã nói không có gì sai khi tạo lại (các) Khóa riêng SSH của bạn nếu bạn muốn - một chút hoang tưởng không phải là điều xấu :-)
voretaq7

2

Vì vậy, dường như SSH không bị ảnh hưởng:

Nói chung, bạn bị ảnh hưởng nếu bạn chạy một số máy chủ nơi bạn đã tạo khóa SSL tại một số điểm. Người dùng cuối điển hình không bị ảnh hưởng (trực tiếp). SSH không bị ảnh hưởng. Việc phân phối các gói Ubuntu không bị ảnh hưởng (nó phụ thuộc vào chữ ký GPG).

Nguồn: hỏi ubfox: Làm thế nào để vá CVE-2014-0160 trong OpenSSL?


1

Khác với những gì người khác đã nói ở đây Schneier nói có.

Về cơ bản, kẻ tấn công có thể lấy 64K bộ nhớ từ máy chủ. Cuộc tấn công không để lại dấu vết và có thể được thực hiện nhiều lần để lấy 64K bộ nhớ ngẫu nhiên khác nhau. Điều này có nghĩa là mọi thứ trong bộ nhớ - khóa riêng SSL, khóa người dùng, mọi thứ - đều dễ bị tấn công. Và bạn phải cho rằng tất cả đều bị xâm phạm. Tất cả.

Không phải là ssh (bất kỳ loại nào) bị ảnh hưởng trực tiếp, nhưng các phím ssh đó có thể được lưu trong bộ nhớ và bộ nhớ có thể được truy cập. Điều này chỉ dành cho bất cứ điều gì khác được lưu trữ trong bộ nhớ được coi là bí mật.


Ông dường như đưa ra một cái nhìn tổng quan rất chung về vấn đề với câu này. Đây là lần đầu tiên tôi nghe nói rằng tất cả bộ nhớ của bạn đã bị phơi bày. Cho đến nay sự hiểu biết của tôi là chỉ có bộ nhớ mà quá trình dễ bị tổn thương có quyền truy cập được bộc lộ. Xem thêm: security.stackexchange.com/questions/55076/ từ
mạo

0

OpenSSH không sử dụng phần mở rộng nhịp tim, vì vậy OpenSSH không bị ảnh hưởng. Khóa của bạn phải an toàn miễn là không có quá trình OpenSSL nào sử dụng nhịp tim có chúng trong bộ nhớ của chúng, nhưng điều đó thường rất khó xảy ra.

Vì vậy, nếu bạn đang / cần phải có một chút hoang tưởng thay thế chúng, nếu không bạn có thể ngủ tương đối tốt mà không làm như vậy.


SSH không sử dụng OpenSSL. Sự khác biệt lớn đấy.
Jacob

2
OpenSSH sử dụng phần libcrypto của OpenSSL. Đó là lý do tại sao bạn phải khởi động lại SSH sau khi cập nhật OpenSSL. Đó là lý do tại sao một số người hỏi họ có phải thay thế Khóa SSH không. Xem câu trả lời của tôi ở trên ... Vậy quan điểm của bạn chính xác là gì?
Denis Witt
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.