我已經用補丁更新了我的伺服器。
我是否需要重新產生任何關於 OpenSSH 的私鑰?我知道我必須重新產生所有 SSL 憑證。
編輯:我說得不夠準確。我知道該漏洞存在於 openssl 中,但我想問這對 openssh 有何影響,以及我是否需要重新產生 openssh 主機金鑰。
答案1
該漏洞不影響openssh它的影響openssl。
這是一個被許多服務使用的庫 - 包括openssh.
目前看來很明顯openssh不會受到此漏洞的影響,因為 OpenSSH 使用 SSH 協議,而不是易受攻擊的 TLS 協定。您的 ssh 私鑰不太可能位於記憶體中且可以被易受攻擊的進程讀取 - 並非不可能,但不太可能。
當然,您仍然必須更新您的openssl版本。
請注意,如果您更新了,openssl您還需要重新啟動所有正在使用它的服務。
其中包括 VPN 伺服器、網路伺服器、郵件伺服器、負載平衡器等軟體...
答案2
所以看來 SSH 不受影響:
一般來說,如果您執行某個在某個時刻產生 SSL 金鑰的伺服器,您就會受到影響。典型的最終用戶不會(直接)受到影響。 SSH 不受影響。 Ubuntu 軟體包的分發不受影響(它依賴 GPG 簽章)。
答案3
OpenSSH 不使用心跳擴展,因此 OpenSSH 不受影響。只要沒有使用心跳的 OpenSSL 進程將它們保存在記憶體中,您的金鑰就應該是安全的,但這通常不太可能。
因此,如果您/需要有點偏執,請更換它們,如果不是,您可以在不這樣做的情況下睡得相對好。
答案4
與這裡其他人所說的不同施奈爾說是的。
基本上,攻擊者可以從伺服器取得 64K 記憶體。該攻擊不會留下任何痕跡,並且可以多次執行以獲取不同的隨機 64K 記憶體。這意味著記憶體中的任何內容(SSL 私鑰、使用者金鑰等)都容易受到攻擊。而且你必須假設這一切都受到了損害。所有的。
並不是ssh(任何類型)受到直接影響,而是ssh密鑰可能儲存在記憶體中並且可以存取記憶體。這適用於儲存在記憶體中的任何其他被視為秘密的內容。