Чи потрібно мені замінити ключі для OpenSSH у відповідь на Heartbleed?

9

Я вже оновив свої сервери з виправленнями.

Чи потрібно регенерувати будь-які приватні ключі стосовно OpenSSH? Я знаю, що мені потрібно відновити будь-які сертифікати SSL.

EDIT: Я не сказав це досить точно. Я знаю, що вразливість є у openssl, але мене запитували, як це впливає на openssh, і чи потрібно мені знову генерувати хост-ключі openssh.

ssh heartbleed

— Оллі
джерело

1

Насправді це, мабуть, дублікат serverfault.com/questions/587329/…

— faker

Ваш перший та третій абзаци здаються суперечливими.

— CVn

@faker Не дуже - це питання не стосується нічого про SSH ...

— voretaq7

Питання, пов’язані з цим: serverfault.com/questions/587433/…

— voretaq7

5

Уразливість не впливає на opensshце впливає openssl.
Яка бібліотека використовується багатьма службами - в тому числі openssh.

У цей момент часу видається зрозумілим, що opensshця вразливість не впливає, оскільки OpenSSH використовує протокол SSH, а не вразливий протокол TLS. Навряд чи ваш приватний ключ ssh знаходиться в пам'яті та читається вразливим процесом - не неможливо, але й малоймовірно.

Звичайно, ви все ж повинні оновити свою opensslверсію.
Зауважте, що якщо ви оновили, opensslвам також потрібно перезапустити всі служби, які ним користуються.
Це включає таке програмне забезпечення, як VPN-сервер, веб-сервер, поштовий сервер, балансир завантаження, ...

— підробник
джерело

1

Що слід пам’ятати: можна використовувати ту саму частину приватного ключа для приватного ключа SSH та сертифіката SSL. У цьому випадку, якщо ключ сертифіката SSL був використаний на вразливому веб-сервері, вам також потрібно буде замінити приватний ключ SSH. (Для того, щоб це використовувати, хтось повинен знати, що ти це робиш, або думає спробувати - це ДУЖЕ незвичайна конфігурація на моєму досвіді, тому я сумніваюся, що хтось це подумає). Все, що говорило, що немає нічого поганого в відновленні приватних ключів SSH, якщо ви хочете - трохи

— параноїя

2

Отже, схоже, що на SSH це не впливає:

Як правило, на вас впливає, якщо ви запустили якийсь сервер, на якому в якийсь момент ви створили ключ SSL. Типові кінцеві користувачі не впливають (безпосередньо). SSH не зачіпається. На розподіл пакетів Ubuntu не впливає (він покладається на підписи GPG).

Джерело: ask ubuntu: Як виправити CVE-2014-0160 у OpenSSL?

— Оллі
джерело

1

На відміну від того, що тут казали інші, Шнайер говорить так.

В основному, зловмисник може захопити 64K пам'яті з сервера. Атака не залишає слідів, і її можна зробити кілька разів, щоб захопити різні випадкові 64K пам'яті. Це означає, що все, що запам'ятовується - приватні ключі SSL, ключі користувача, будь-що інше - є вразливим. І ви повинні припустити, що це все компрометовано. Все це.

Справа не в тому, що на ssh (будь-якого типу) це вплинуло безпосередньо, але в тому, що ключі ssh можуть зберігатися в пам'яті, і доступ до пам'яті. Це стосується майже всього іншого, що зберігається в пам'яті, що вважається таємним.

— Джеремі Френч
джерело

Він, схоже, дає дуже загальний огляд проблеми з цим реченням. Це перший раз, коли я чую, що вся ця пам'ять була викрита. Поки я розумію, що лише пам'ять, до якої вразливий процес має доступ, піддається. Дивіться також: security.stackexchange.com/questions/55076/…

— факер

0

OpenSSH не використовує розширення серцебиття, тому OpenSSH не впливає. Ваші ключі повинні бути безпечними до тих пір, поки жоден процес OpenSSL, який би використовував серцебиття, не мав їх у пам’яті, але це, як правило, малоймовірно.

Тож, якщо вам / потрібно бути трохи параноїком замінити їх, якщо ні, ви можете спати відносно добре, не роблячи цього.

— Деніс Вітт
джерело

SSH не використовує OpenSSL. Велика різниця там.

— Яків

2

OpenSSH використовує лібкриптову частину OpenSSL. Ось чому вам доведеться перезапустити SSH після оновлення OpenSSL. Ось чому деякі люди запитують, чи потрібно їм замінити свої SSH-ключі. Дивіться мою відповідь вище ... Тож, що саме ви думаєте?

— Деніс Вітт