É comumente conhecido que o bug heartbleed existe nas versões OpenSSL 1.0.1 até 1.0.1f (inclusive).
Então, por que ssh e sshd são compilados com o OpenSSL 1.0.1, onde o bug existe (12.04 - > OpenSSL 1.0.1, 14.04 - > OpenSSL 1.0.1f)?
O libssl.so está claro, mas se eu correr
ldd 'which ssh'
# or
ldd 'which sshd'
nada liga contra as versões não corrompidas do OpenSSL. Mas se eu correr
sshd -V
# Under Ubuntu 12.04 it says:
OpenSSH_5.9p1 Debian-5ubuntu1.4, OpenSSL 1.0.1 14 Mar 2012
# Under Ubuntu 14.04 it says:
OpenSSH_6.6.1p1 Ubuntu-2ubuntu2, OpenSSL 1.0.1f 6 Jan 2014
Eles explicitamente dizem que eles são compilados com versões corrompidas. No link , nada é dito sobre qualquer atualização durante o lançamento do bug de heartbeat.
Então, como posso ter certeza de que sshd não está usando uma versão afetada do OpenSSL.
Se, se não usá-lo, por que eles explicitamente dizem que usam uma versão afetada?
O Heartbleed afeta apenas as conexões SSL / TLS, não todas as funções de criptografia na biblioteca OpenSSL, e o sshd não usa SSL / TLS, portanto não é afetado pelo Heartbleed, mesmo se compilado usando versões afetadas do OpenSSL. Veja esta pergunta e resposta .