Heartbleed'a Yanıt Olarak OpenSSH Anahtarlarını Değiştirmem Gerekir mi?


9

Sunucularımı yamalarla zaten güncelledim.

OpenSSH ile ilgili herhangi bir özel anahtarı yeniden oluşturmam gerekir mi? SSL sertifikalarını yeniden oluşturmam gerektiğini biliyorum.

EDIT: Bunu yeterince doğru bir şekilde söylemedim. Güvenlik açığının openssl'de olduğunu biliyorum, ancak bunun openssh'i nasıl etkilediğini ve openssh ana bilgisayar anahtarlarını yeniden oluşturmam gerekip gerekmediğini soruyordum.



Birinci ve üçüncü paragraflarınız çelişkili görünüyor.
bir CVn

@faker Pek değil - bu soru SSH hakkında hiçbir şeye cevap vermiyor ...
voretaq7

Yanıtlar:


5

Güvenlik açığı, etkilediği etkiyi opensshetkilemez openssl.
Hangi birçok hizmet tarafından kullanılan bir kütüphane - dahil openssh.

Bu noktada openssh, OpenSSH, savunmasız TLS protokolünü değil SSH protokolünü kullandığından, bu güvenlik açığından etkilenmediği açıktır . Ssh özel anahtarınızın bellekte olması ve savunmasız - imkansız değil, olası bir işlemle okunabilir olması olası değildir.

Tabii ki hala opensslsürümünüzü güncellemelisiniz .
Güncellediyseniz, opensslbunu kullanan tüm hizmetleri yeniden başlatmanız gerektiğini unutmayın.
VPN sunucusu, web sunucusu, posta sunucusu, yük dengeleyici, ...


1
Akılda tutulması gereken bir şey: SSH Özel Anahtarı ve SSL Sertifikası için aynı özel anahtar bölümünü kullanmak mümkündür . Bu durumda, SSL sertifikası anahtarı savunmasız bir web sunucusunda kullanılmışsa, etkilenen SSH Özel Anahtarını da değiştirmeniz gerekir. (Bunun istismar edilmesi için birinin bunu yaptığınızı bilmesi ya da denemeyi düşünmesi gerekir - bu benim deneyimimde ÇOK alışılmadık bir konfigürasyon, bu yüzden herkesin düşüneceğinden şüpheliyim). Tüm bunlar, isterseniz SSH Özel Anahtar (lar)
ınızı

2

Görünüşe göre SSH etkilenmemiş:

Genellikle, bir noktada SSL anahtarı oluşturduğunuz bir sunucuyu çalıştırırsanız etkilenirsiniz. Tipik son kullanıcılar (doğrudan) etkilenmez. SSH etkilenmez. Ubuntu paketlerinin dağıtımı etkilenmez (GPG imzalarına dayanır).

Kaynak: ask ubuntu: OpenSSL'de CVE-2014-0160 nasıl eklenir?


1

Başkalarının burada söylediklerinden farklı olarak Schneier evet diyor.

Temel olarak, bir saldırgan bir sunucudan 64K bellek alabilir. Saldırı iz bırakmaz ve farklı rasgele bir 64K bellek almak için birden çok kez yapılabilir. Bu, bellekteki herhangi bir şeyin (SSL özel anahtarları, kullanıcı anahtarları, herhangi bir şey) savunmasız olduğu anlamına gelir. Ve her şeyin tehlikeye atıldığını varsaymalısınız. Hepsini.

Bu ssh (herhangi bir tür) doğrudan etkilenmiş değildir, ancak ssh anahtarları bellekte saklanabilir ve belleğe erişilebilir. Bu, bellekte saklanan ve sır olarak kabul edilen hemen hemen her şey için geçerlidir.


Bu cümle ile ilgili soruna çok genel bir bakış sunuyor gibi görünüyor. O bunu duyduğuma ilk defa bütün bütün bellek maruz kaldı. Şimdiye kadar benim anlayışım sadece savunmasız sürecin erişebildiği belleğin açığa çıktığıdır. Ayrıca bkz: security.stackexchange.com/questions/55076/…
faker

0

OpenSSH kalp atışı uzantısını kullanmaz, bu nedenle OpenSSH etkilenmez. Kalp atışınızı kullanan hiçbir OpenSSL işlemi hafızasında bulunmadığı sürece Anahtarlarınız güvende olmalıdır, ancak bu pek olası değildir.

Yani eğer biraz paranoyak olmanız gerekiyorsa, onları değiştirin, eğer yapmazsanız nispeten iyi uyuyabilirsiniz.


SSH, OpenSSL kullanmaz. Orada büyük fark var.
Jacob

2
OpenSSH, OpenSSL'nin libcrypto bölümünü kullanır. Bu nedenle OpenSSL'yi güncelledikten sonra SSH'yi yeniden başlatmanız gerekir. Bu yüzden bazı insanlar SSH Anahtarlarını değiştirmek zorunda olup olmadıklarını soruyorlar. Yukarıdaki cevabımı gör ... Peki tam olarak ne demek istiyorsun?
Denis Witt
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.