Ich habe meine Server bereits mit den Patches aktualisiert.
Muss ich im Hinblick auf OpenSSH alle privaten Schlüssel neu generieren? Ich weiß, dass ich alle SSL-Zertifikate neu generieren muss.
BEARBEITEN:Ich habe das nicht genau genug formuliert. Ich weiß, dass die Sicherheitslücke in OpenSSL liegt, aber ich habe gefragt, welche Auswirkungen dies auf OpenSSH hat und ob ich die OpenSSH-Hostschlüssel neu generieren muss.
Antwort1
Die Sicherheitslücke betrifft nicht openssh. opensslDabei
handelt es sich um eine Bibliothek, die von vielen Diensten verwendet wird – einschließlich openssh.
Zum jetzigen Zeitpunkt scheint klar, dass opensshes nicht von dieser Sicherheitslücke betroffen ist, da OpenSSH das SSH-Protokoll und nicht das anfällige TLS-Protokoll verwendet. Es ist unwahrscheinlich, dass Ihr privater SSH-Schlüssel im Speicher liegt und von einem anfälligen Prozess gelesen werden kann – nicht unmöglich, aber unwahrscheinlich.
Natürlich müssen Sie Ihre opensslVersion trotzdem aktualisieren.
Beachten Sie, dass Sie nach der Aktualisierung opensslauch alle Dienste neu starten müssen, die diese verwenden.
Dazu gehört Software wie VPN-Server, Webserver, Mailserver, Load Balancer usw.
Antwort2
Es scheint also, dass SSH nicht betroffen ist:
Im Allgemeinen sind Sie betroffen, wenn Sie einen Server betreiben, auf dem Sie irgendwann einen SSL-Schlüssel generiert haben. Normale Endbenutzer sind nicht (direkt) betroffen. SSH ist nicht betroffen. Die Verteilung von Ubuntu-Paketen ist nicht betroffen (sie basiert auf GPG-Signaturen).
Quelle:Fragen Sie Ubuntu: Wie patche ich CVE-2014-0160 in OpenSSL?
Antwort3
OpenSSH verwendet die Heartbeat-Erweiterung nicht, daher ist OpenSSH nicht betroffen. Ihre Schlüssel sollten sicher sein, solange kein OpenSSL-Prozess, der Heartbeat verwendet, sie im Speicher hat, aber das ist normalerweise sehr unwahrscheinlich.
Wenn Sie also ein bisschen paranoid sind/sein müssen, ersetzen Sie sie, andernfalls können Sie auch ohne sie relativ gut schlafen.
Antwort4
Im Gegensatz zu dem, was andere hier gesagt habenSchneier sagt ja.
Grundsätzlich kann ein Angreifer 64 KB Speicher von einem Server stehlen. Der Angriff hinterlässt keine Spuren und kann mehrfach ausgeführt werden, um zufällig ausgewählte 64 KB Speicher zu stehlen. Das bedeutet, dass alles im Speicher – private SSL-Schlüssel, Benutzerschlüssel, alles – angreifbar ist. Und Sie müssen davon ausgehen, dass alles kompromittiert ist. Alles.
Es ist nicht so, dass SSH (jeder Typ) direkt betroffen war, sondern dass SSH-Schlüssel im Speicher gespeichert sein können und auf diesen zugegriffen werden kann. Dies gilt für praktisch alles andere, was im Speicher gespeichert ist und als geheim gilt.