Já atualizei meus servidores com os patches.
Preciso regenerar alguma chave privada em relação ao OpenSSH? Eu sei que preciso regenerar quaisquer certificados SSL.
EDITAR:Eu não disse isso com precisão suficiente. Eu sei que a vulnerabilidade está no openssl, mas estava perguntando como isso afeta o openssh e se preciso gerar novamente as chaves do host do openssh.
Responder1
A vulnerabilidade não afeta, opensshafeta openssl.
Que é uma biblioteca usada por muitos serviços - incluindo openssh.
Neste momento, parece claro que opensshnão é afetado por esta vulnerabilidade, porque o OpenSSH usa o protocolo SSH, não o protocolo TLS vulnerável. É improvável que sua chave privada ssh esteja na memória e possa ser lida por um processo vulnerável - não impossível, mas improvável.
Claro que você ainda deve atualizar sua opensslversão.
Observe que se você atualizou, openssltambém precisará reiniciar todos os serviços que o utilizam.
Isso inclui software como servidor VPN, servidor web, servidor de e-mail, balanceador de carga, ...
Responder2
Parece que o SSH não foi afetado:
Geralmente, você será afetado se executar algum servidor onde gerou uma chave SSL em algum momento. Os utilizadores finais típicos não são (diretamente) afetados. O SSH não é afetado. A distribuição de pacotes Ubuntu não é afetada (depende de assinaturas GPG).
Fonte:pergunte ao Ubuntu: Como corrigir o CVE-2014-0160 no OpenSSL?
Responder3
O OpenSSH não usa a extensão heartbeat, portanto o OpenSSH não é afetado. Suas chaves devem estar seguras desde que nenhum processo OpenSSL que faça uso de pulsação as tenha em memória, mas isso geralmente é muito improvável.
Então, se você é/precisa ser um pouco paranóico, substitua-os; caso contrário, você pode dormir relativamente bem sem fazê-lo.
Responder4
Diferentemente do que outros disseram aquiSchneier diz que sim.
Basicamente, um invasor pode obter 64K de memória de um servidor. O ataque não deixa rastros e pode ser feito várias vezes para obter 64K aleatórios diferentes de memória. Isso significa que qualquer coisa na memória – chaves privadas SSL, chaves de usuário, qualquer coisa – é vulnerável. E você tem que assumir que está tudo comprometido. Tudo isso.
Não é que o ssh (qualquer tipo) tenha sido diretamente afetado, mas as chaves ssh podem ser armazenadas na memória e a memória pode ser acessada. Isso vale para praticamente qualquer outra coisa armazenada na memória que seja considerada secreta.