Heartbleed ssh tuşlarını etkiler mi?


40

En yeni Heartbleed hatası, oluşturduğum ssh tuşlarını etkiler mi ve Github, Heroku ve diğer benzer sitelerle kodu itmek / çekmek için kullanıyor mu?

Kullandığım anahtarları değiştirmem gerekiyor mu?

Yanıtlar:


47

Hayır, Heartbleed SSH anahtarlarını gerçekten etkilemiyor, bu nedenle kullandığınız SSH anahtarlarını değiştirmeniz gerekmez.

İlk olarak, SSL ve SSH, iki farklı kullanım için iki farklı güvenlik protokolüdür. Aynı şekilde, OpenSSL ve OpenSSH de isimlerindeki benzerliklere rağmen tamamen farklı iki yazılım paketidir.

İkincisi, Heartbleed istismarına, savunmasız OpenSSL TLS / DTLS eşinin 64 kB'lik bir hafıza geri göndermesi neden olur, ancak neredeyse kesinlikle bu OpenSSL kullanan işlem için erişilebilen hafıza ile sınırlıdır. OpenSSL kullanan bu işlem SSH özel anahtarınıza erişemiyorsa, Heartbleed üzerinden sızdırmaz.

Ayrıca, genellikle SSH ortak anahtarınızı yalnızca bağlanmak için SSH kullandığınız sunuculara koyarsınız ve adından da anlaşılacağı gibi, ortak bir anahtar yayınlayabileceğiniz bir anahtardır. Kimin bildiği önemli değil. Aslında, halkın doğru ortak anahtarınızı bilmesini istersiniz .

Güvenlik açığının, müşteri tarafında TLS / DTLS kitaplığı olarak savunmasız OpenSSL sürümlerini kullanan istemci uygulamalarını etkileyebileceğini belirttiği için @Bob'a teşekkür ederiz. Bu nedenle, örneğin, web tarayıcınız veya SSL tabanlı VPN istemciniz, OpenSSL’in savunmasız bir sürümünü kullanıyorsa ve kötü amaçlı bir sunucuya bağlanırsa, kötü niyetli sunucu, bu istemci yazılımının hafızasının rasgele snippet'lerini görmek için Heartbleed kullanabilir. Herhangi bir sebepten dolayı bu istemci uygulamasında SSH özel anahtarlarınızın bir kopyası bellekte bulunuyorsa, Heartbleed aracılığıyla sızıntı yapabilir.

Kafamın üstünde, şifrelenmemiş SSH özel anahtarınızın bir kopyasını bellekte alabilecek SSH dışında herhangi bir yazılım düşünmüyorum. Bu, SSH özel anahtarlarınızı diskte şifreli tuttuğunuzu varsayar. SSH özel anahtarlarınızı diskte şifreli tutmazsanız, ana dizininizi ağ üzerinden kopyalamak veya yedeklemek için bazı OpenSSL TLS kullanarak dosya aktarımı veya yedekleme programı kullanmış olabileceğinizi düşünmüştüm (sizin ~/.ssh/id_rsaveya diğer SSH özel anahtarınız dahil) ), o zaman SSH özel anahtarınızın şifrelenmemiş bir kopyası bellekte olabilir. Daha sonra, şifrelenmemiş SSH özel anahtarınızı kötü amaçlı bir sunucuya yedeklemişseniz, muhtemelen Heartbleed'den daha büyük endişeleriniz vardır. :-)


3
Genel yorumun gerçekten alakasız olduğunu unutmayın - Heartbleed hem müşterileri hem de sunucuları etkiler. Ancak SSH'nin farklı olması ve bu güvenlik açığından etkilenmemesi konusunda haklısınız .
Bob,

1
@Bob Teşekkürler, Heartbleed yazıları o kadar sunucu odaklıydı ki, müşteri tarafında yaşanan sonuçları anlamadım. Bunu daha iyi ele almak için Cevabımı güncelledim. İnsanların, bir Heartbleed-savunmasız sürecin sızdırabileceği bir yere bir SSH özel anahtarı bırakma ihtimalinin çok düşük olduğunu düşünüyorum.
Spiff

1
Biri SSH'nin şifreleme için OpenSSL kütüphanesini kullandığından bahsetmelidir. Bununla birlikte, belirttiğiniz gibi, ssh, farklı bir protokol olduğu için kalp atışlarının istismarından etkilenmez.
psibar

1

“İkincisi, Heartbleed istismarı, savunmasız OpenSSL TLS / DTLS eşinin 64 kB'lik bir hafıza geri göndermesine neden oluyor, ancak neredeyse kesinlikle bu OpenSSL kullanan işlem için erişilebilen hafıza ile sınırlı.”

Makine tehlikeye girerse, ssh dahil, onun üzerinde herhangi bir şeye nasıl güvenebilirsiniz? dan heartbleed.com

"Uygulamada neler sızıyor?

Kendi servislerimizden bazılarını saldırganın bakış açısından test ettik. Bir iz bırakmadan kendimize dışardan saldırdık. Herhangi bir ayrıcalıklı bilgi veya kimlik belgesi kullanmadan X.509 sertifikalarımız için kullanılan gizli anahtarları, kullanıcı adlarımızı ve şifrelerimizi, anlık mesajlarımızı, e-postalarınızı ve işle ilgili kritik belgelerimizi ve iletişimimizi kendimizden çalabildik. "

Birileri, zararlı olmadığını düşündükleri bir sunucuya, hiçbir parola olmadan, özel bir anahtar koymuş olabilirler ... ama oldukları ortaya çıktı. b / c SSL hatası kullanıcının şifresini çözdü, 'sudo' olan bir kullanıcı ... muhtemelen bir sorun değil .... ama ...

insanlar bazen çılgınca şeyler yaparlar

http://blog.visionsource.org/2010/08/28/mining-passwords-from-public-github-repositories/


Bence bu alıntı, çalınan TLS anahtarlarını kullanan orta saldırıda bir adama atıfta bulunuyor. Saldırgan, işletim sistemindeki bir güvenlik sorununu vurgulayan diğer programlardan gelen belleğe erişememelidir.
Matthew Mitchell

Bir kullanıcı şifrelenmemiş özel SSH anahtarını sunuculara yerleştirmişse, yardımımızın ötesine geçer. Ona piv.pivpiv.dk adresine bir link gönder .
Spiff
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.