Tôi có cần thay thế khóa cho OpenSSH để đáp lại Heartbleed không?

Tôi đã cập nhật máy chủ của mình với các bản vá.

Tôi có cần tạo lại bất kỳ khóa riêng nào liên quan đến OpenSSH không? Tôi biết rằng tôi phải tạo lại bất kỳ chứng chỉ SSL nào.

EDIT: Tôi đã không từ này đủ chính xác. Tôi biết lỗ hổng bảo mật là trong openssl, nhưng tôi đã hỏi làm thế nào điều này tác động đến openssh, và liệu tôi có cần tạo lại các khóa máy chủ openssh không.

Các lỗ hổng không ảnh hưởng đến opensshnó openssl.
Đó là một thư viện được sử dụng bởi nhiều dịch vụ - bao gồm openssh.

Tại thời điểm này, dường như rõ ràng opensshlà không bị ảnh hưởng bởi lỗ hổng này, bởi vì OpenSSH sử dụng giao thức SSH, không phải giao thức TLS dễ bị tổn thương. Không chắc là khóa riêng ssh của bạn nằm trong bộ nhớ và có thể đọc được bởi một quá trình dễ bị tổn thương - không phải là không thể nhưng không thể.

Tất nhiên bạn vẫn phải cập nhật opensslphiên bản của bạn .
Lưu ý rằng nếu bạn cập nhật, opensslbạn cũng cần khởi động lại tất cả các dịch vụ đang sử dụng nó.
Điều đó bao gồm phần mềm như máy chủ VPN, máy chủ web, máy chủ thư, cân bằng tải, ...

Vì vậy, dường như SSH không bị ảnh hưởng:

Nói chung, bạn bị ảnh hưởng nếu bạn chạy một số máy chủ nơi bạn đã tạo khóa SSL tại một số điểm. Người dùng cuối điển hình không bị ảnh hưởng (trực tiếp). SSH không bị ảnh hưởng. Việc phân phối các gói Ubuntu không bị ảnh hưởng (nó phụ thuộc vào chữ ký GPG).

Nguồn: hỏi ubfox: Làm thế nào để vá CVE-2014-0160 trong OpenSSL?

Khác với những gì người khác đã nói ở đây Schneier nói có.

Về cơ bản, kẻ tấn công có thể lấy 64K bộ nhớ từ máy chủ. Cuộc tấn công không để lại dấu vết và có thể được thực hiện nhiều lần để lấy 64K bộ nhớ ngẫu nhiên khác nhau. Điều này có nghĩa là mọi thứ trong bộ nhớ - khóa riêng SSL, khóa người dùng, mọi thứ - đều dễ bị tấn công. Và bạn phải cho rằng tất cả đều bị xâm phạm. Tất cả.

Không phải là ssh (bất kỳ loại nào) bị ảnh hưởng trực tiếp, nhưng các phím ssh đó có thể được lưu trong bộ nhớ và bộ nhớ có thể được truy cập. Điều này chỉ dành cho bất cứ điều gì khác được lưu trữ trong bộ nhớ được coi là bí mật.

OpenSSH không sử dụng phần mở rộng nhịp tim, vì vậy OpenSSH không bị ảnh hưởng. Khóa của bạn phải an toàn miễn là không có quá trình OpenSSL nào sử dụng nhịp tim có chúng trong bộ nhớ của chúng, nhưng điều đó thường rất khó xảy ra.

Vì vậy, nếu bạn đang / cần phải có một chút hoang tưởng thay thế chúng, nếu không bạn có thể ngủ tương đối tốt mà không làm như vậy.