Я уже обновил свои серверы с помощью патчей.
Нужно ли мне повторно генерировать какие-либо закрытые ключи в отношении OpenSSH? Я знаю, что мне придется повторно генерировать любые SSL-сертификаты.
РЕДАКТИРОВАТЬ:Я не совсем точно выразился. Я знаю, что уязвимость в openssl, но я спрашивал, как это влияет на openssh, и нужно ли мне повторно генерировать ключи хоста openssh.
решение1
Уязвимость не затрагивает, opensshона затрагивает openssl.
Которая является библиотекой, используемой многими службами, включая openssh.
На данный момент кажется очевидным, что opensshне подвержен этой уязвимости, поскольку OpenSSH использует протокол SSH, а не уязвимый протокол TLS. Маловероятно, что ваш закрытый ключ ssh находится в памяти и может быть прочитан процессом, который уязвим — не невозможно, но маловероятно.
Конечно, вам все равно нужно обновить opensslверсию.
Обратите внимание, что если вы обновились, opensslвам также нужно перезапустить все службы, которые ее используют.
Это включает в себя программное обеспечение, такое как VPN-сервер, веб-сервер, почтовый сервер, балансировщик нагрузки, ...
решение2
Похоже, что SSH не затронут:
Обычно вы подвержены влиянию, если вы запускаете какой-либо сервер, на котором вы в какой-то момент сгенерировали ключ SSL. Типичные конечные пользователи (напрямую) не подвержены влиянию. SSH не подвержен влиянию. Распространение пакетов Ubuntu не подвержено влиянию (оно опирается на подписи GPG).
решение3
OpenSSH не использует расширение heartbeat, поэтому OpenSSH не затронут. Ваши ключи должны быть в безопасности, пока ни один процесс OpenSSL, использующий heartbeat, не имеет их в своей памяти, но это обычно очень маловероятно.
Так что если вы немного параноик/нуждаетесь в этом, замените их, если нет, то вы можете относительно спокойно спать и без этого.
решение4
В отличие от того, что здесь сказали другиеШнайер говорит «да».
По сути, злоумышленник может захватить 64 КБ памяти с сервера. Атака не оставляет следов и может быть повторена несколько раз, чтобы захватить разные случайные 64 КБ памяти. Это означает, что все в памяти — закрытые ключи SSL, пользовательские ключи, все что угодно — уязвимо. И вы должны предположить, что все это скомпрометировано. Все это.
Не то, чтобы ssh (любой тип) был напрямую затронут, но ключи ssh могут храниться в памяти, и к памяти может быть получен доступ. Это касается практически всего остального, что хранится в памяти и считается секретным.