Preciso substituir as chaves do OpenSSH em resposta ao Heartbleed?

9

Já atualizei meus servidores com os patches.

Preciso regenerar chaves privadas em relação ao OpenSSH? Eu sei que tenho que regenerar quaisquer certificados SSL.

EDIT: Eu não falei isso com precisão suficiente. Eu sei que a vulnerabilidade está no openssl, mas eu estava perguntando como isso impacta no openssh, e se preciso gerar novamente as chaves de host do openssh.

    
por Olly 08.04.2014 / 12:11

4 respostas

5

A vulnerabilidade não afeta openssh que afeta openssl .
Qual é uma biblioteca usada por muitos serviços - incluindo openssh .

Neste momento, parece claro que openssh não é afetado por esta vulnerabilidade, porque o OpenSSH usa o protocolo SSH, não o protocolo TLS vulnerável. É improvável que sua chave privada ssh esteja na memória e seja legível por um processo que é vulnerável - não impossível, mas improvável.

É claro que você ainda deve atualizar sua versão openssl .
Observe que, se você atualizou o openssl , também precisará reiniciar todos os serviços que o estão usando.
Isso inclui software como servidor VPN, servidor web, servidor de e-mail, balanceador de carga ...

    
por 08.04.2014 / 12:16
2

Parece que o SSH não é afetado:

Generally, you're affected if you run some server where you generated an SSL key at some point. Typical end-users are not (directly) affected. SSH is not affected. The distribution of Ubuntu packages isn't affected (it relies on GPG signatures).

Fonte: pergunte ao ubuntu: Como corrigir o CVE-2014-0160 no OpenSSL?

    
por 08.04.2014 / 12:47
1

Em diferença do que os outros disseram aqui Schneier diz que sim

Basically, an attacker can grab 64K of memory from a server. The attack leaves no trace, and can be done multiple times to grab a different random 64K of memory. This means that anything in memory -- SSL private keys, user keys, anything -- is vulnerable. And you have to assume that it is all compromised. All of it.

Não é que ssh (qualquer tipo) foi diretamente afetado, mas as chaves ssh podem ser armazenadas na memória e a memória pode ser acessada. Isso vale para qualquer coisa armazenada na memória que seja considerada secreta.

    
por 09.04.2014 / 14:54
0

O OpenSSH não usa a extensão de heartbeat, então o OpenSSH não é afetado. Suas chaves devem estar seguras, desde que nenhum processo do OpenSSL que faça uso do heartbeat as tenha em sua memória, mas isso geralmente é muito improvável.

Então, se você é / precisa ser um pouco paranóico, substitua-os, se não conseguir dormir relativamente bem sem fazê-lo.

    
por 08.04.2014 / 21:57