Ya actualicé mis servidores con los parches.
¿Necesito regenerar alguna clave privada con respecto a OpenSSH? Sé que tengo que regenerar los certificados SSL.
EDITAR:No dije esto con suficiente precisión. Sé que la vulnerabilidad está en openssl, pero preguntaba cómo afecta esto a openssh y si necesito volver a generar las claves del host de openssh.
Respuesta1
La vulnerabilidad no afecta , opensshafecta openssl.
Que es una biblioteca utilizada por muchos servicios, incluido openssh.
A estas alturas parece claro que opensshno se ve afectado por esta vulnerabilidad, porque OpenSSH utiliza el protocolo SSH, no el vulnerable protocolo TLS. Es poco probable que su clave privada ssh esté en la memoria y sea legible por un proceso que sea vulnerable; no es imposible, pero sí poco probable.
Por supuesto, aún debes actualizar tu opensslversión.
Tenga en cuenta que si actualizó, openssltambién deberá reiniciar todos los servicios que lo estén utilizando.
Eso incluye software como servidor VPN, servidor web, servidor de correo, equilibrador de carga, ...
Respuesta2
Entonces parece que SSH no se ve afectado:
Generalmente, usted se ve afectado si ejecuta algún servidor donde generó una clave SSL en algún momento. Los usuarios finales típicos no se ven afectados (directamente). SSH no se ve afectado. La distribución de paquetes de Ubuntu no se ve afectada (depende de firmas GPG).
Fuente:Pregúntele a Ubuntu: ¿Cómo parchear CVE-2014-0160 en OpenSSL?
Respuesta3
OpenSSH no utiliza la extensión heartbeat, por lo que OpenSSH no se ve afectado. Sus claves deberían estar seguras siempre que ningún proceso OpenSSL que utilice latidos del corazón las tenga en su memoria, pero eso suele ser muy poco probable.
Entonces, si eres o necesitas estar un poco paranoico, reemplázalos; si no, puedes dormir relativamente bien sin hacerlo.
Respuesta4
A diferencia de lo que otros han dicho aquí.Schneier dice que sí.
Básicamente, un atacante puede apoderarse de 64 KB de memoria de un servidor. El ataque no deja rastro y se puede realizar varias veces para capturar 64K de memoria aleatorios diferentes. Esto significa que cualquier cosa en la memoria (claves privadas SSL, claves de usuario, cualquier cosa) es vulnerable. Y hay que asumir que todo está comprometido. Todo ello.
No es que ssh (cualquier tipo) se haya visto directamente afectado, sino que las claves ssh pueden almacenarse en la memoria y se puede acceder a ella. Esto se aplica a casi cualquier otra cosa almacenada en la memoria que se considere secreta.