En yeni Heartbleed hatası, oluşturduğum ssh tuşlarını etkiler mi ve Github, Heroku ve diğer benzer sitelerle kodu itmek / çekmek için kullanıyor mu?
Kullandığım anahtarları değiştirmem gerekiyor mu?
En yeni Heartbleed hatası, oluşturduğum ssh tuşlarını etkiler mi ve Github, Heroku ve diğer benzer sitelerle kodu itmek / çekmek için kullanıyor mu?
Kullandığım anahtarları değiştirmem gerekiyor mu?
Yanıtlar:
Hayır, Heartbleed SSH anahtarlarını gerçekten etkilemiyor, bu nedenle kullandığınız SSH anahtarlarını değiştirmeniz gerekmez.
İlk olarak, SSL ve SSH, iki farklı kullanım için iki farklı güvenlik protokolüdür. Aynı şekilde, OpenSSL ve OpenSSH de isimlerindeki benzerliklere rağmen tamamen farklı iki yazılım paketidir.
İkincisi, Heartbleed istismarına, savunmasız OpenSSL TLS / DTLS eşinin 64 kB'lik bir hafıza geri göndermesi neden olur, ancak neredeyse kesinlikle bu OpenSSL kullanan işlem için erişilebilen hafıza ile sınırlıdır. OpenSSL kullanan bu işlem SSH özel anahtarınıza erişemiyorsa, Heartbleed üzerinden sızdırmaz.
Ayrıca, genellikle SSH ortak anahtarınızı yalnızca bağlanmak için SSH kullandığınız sunuculara koyarsınız ve adından da anlaşılacağı gibi, ortak bir anahtar yayınlayabileceğiniz bir anahtardır. Kimin bildiği önemli değil. Aslında, halkın doğru ortak anahtarınızı bilmesini istersiniz .
Güvenlik açığının, müşteri tarafında TLS / DTLS kitaplığı olarak savunmasız OpenSSL sürümlerini kullanan istemci uygulamalarını etkileyebileceğini belirttiği için @Bob'a teşekkür ederiz. Bu nedenle, örneğin, web tarayıcınız veya SSL tabanlı VPN istemciniz, OpenSSL’in savunmasız bir sürümünü kullanıyorsa ve kötü amaçlı bir sunucuya bağlanırsa, kötü niyetli sunucu, bu istemci yazılımının hafızasının rasgele snippet'lerini görmek için Heartbleed kullanabilir. Herhangi bir sebepten dolayı bu istemci uygulamasında SSH özel anahtarlarınızın bir kopyası bellekte bulunuyorsa, Heartbleed aracılığıyla sızıntı yapabilir.
Kafamın üstünde, şifrelenmemiş SSH özel anahtarınızın bir kopyasını bellekte alabilecek SSH dışında herhangi bir yazılım düşünmüyorum. Bu, SSH özel anahtarlarınızı diskte şifreli tuttuğunuzu varsayar. SSH özel anahtarlarınızı diskte şifreli tutmazsanız, ana dizininizi ağ üzerinden kopyalamak veya yedeklemek için bazı OpenSSL TLS kullanarak dosya aktarımı veya yedekleme programı kullanmış olabileceğinizi düşünmüştüm (sizin ~/.ssh/id_rsa
veya diğer SSH özel anahtarınız dahil) ), o zaman SSH özel anahtarınızın şifrelenmemiş bir kopyası bellekte olabilir. Daha sonra, şifrelenmemiş SSH özel anahtarınızı kötü amaçlı bir sunucuya yedeklemişseniz, muhtemelen Heartbleed'den daha büyük endişeleriniz vardır. :-)
“İkincisi, Heartbleed istismarı, savunmasız OpenSSL TLS / DTLS eşinin 64 kB'lik bir hafıza geri göndermesine neden oluyor, ancak neredeyse kesinlikle bu OpenSSL kullanan işlem için erişilebilen hafıza ile sınırlı.”
Makine tehlikeye girerse, ssh dahil, onun üzerinde herhangi bir şeye nasıl güvenebilirsiniz? dan heartbleed.com
"Uygulamada neler sızıyor?
Kendi servislerimizden bazılarını saldırganın bakış açısından test ettik. Bir iz bırakmadan kendimize dışardan saldırdık. Herhangi bir ayrıcalıklı bilgi veya kimlik belgesi kullanmadan X.509 sertifikalarımız için kullanılan gizli anahtarları, kullanıcı adlarımızı ve şifrelerimizi, anlık mesajlarımızı, e-postalarınızı ve işle ilgili kritik belgelerimizi ve iletişimimizi kendimizden çalabildik. "
Birileri, zararlı olmadığını düşündükleri bir sunucuya, hiçbir parola olmadan, özel bir anahtar koymuş olabilirler ... ama oldukları ortaya çıktı. b / c SSL hatası kullanıcının şifresini çözdü, 'sudo' olan bir kullanıcı ... muhtemelen bir sorun değil .... ama ...
insanlar bazen çılgınca şeyler yaparlar
http://blog.visionsource.org/2010/08/28/mining-passwords-from-public-github-repositories/