ฉันต้องเปลี่ยนคีย์สำหรับ OpenSSH เพื่อตอบสนองต่อ Heartbleed หรือไม่?


9

ฉันได้อัปเดตเซิร์ฟเวอร์ด้วยแพตช์แล้ว

ฉันจำเป็นต้องสร้างคีย์ส่วนตัวใหม่สำหรับ OpenSSH หรือไม่? ฉันรู้ว่าฉันต้องสร้างใบรับรอง SSL ใหม่อีกครั้ง

แก้ไข:ฉันไม่ได้พูดอย่างถูกต้องเพียงพอ ฉันรู้ว่าช่องโหว่อยู่ใน openssl แต่ฉันถามว่าเรื่องนี้มีผลกระทบกับ openssh หรือไม่และฉันจำเป็นต้องสร้างคีย์โฮสต์ openssh อีกครั้งหรือไม่


1
ที่จริงนี่น่าจะเป็นซ้ำกันกับserverfault.com/questions/587329/…
ขนมปัง

ย่อหน้าแรกและย่อหน้าที่สามของคุณดูขัดแย้งกัน
CVN

@faker ไม่จริง - ว่าคำถามไม่ได้อะไรอยู่เกี่ยวกับ SSH ...
voretaq7

คำถามที่เกี่ยวข้อง: serverfault.com/questions/587433/…
voretaq7

คำตอบ:


5

ช่องโหว่ที่ไม่ส่งผลกระทบมันมีผลต่อopenssh ซึ่งเป็นห้องสมุดที่ใช้โดยบริการจำนวนมาก - รวมทั้ง openssl
openssh

ในเวลานี้ดูเหมือนว่าopensshจะไม่ได้รับผลกระทบจากช่องโหว่นี้เนื่องจาก OpenSSH ใช้โปรโตคอล SSH ไม่ใช่โปรโตคอล TLS ที่มีช่องโหว่ ไม่น่าเป็นไปได้ที่คีย์ส่วนตัว ssh ของคุณอยู่ในหน่วยความจำและสามารถอ่านได้โดยกระบวนการที่มีความเสี่ยง - เป็นไปไม่ได้ แต่ไม่น่าเป็นไปได้

แน่นอนคุณยังต้องอัปเดตopensslเวอร์ชันของคุณ
โปรดทราบว่าหากคุณอัปเดตopensslคุณจะต้องเริ่มบริการทั้งหมดที่ใช้งานอยู่
ซึ่งรวมถึงซอฟต์แวร์เช่นเซิร์ฟเวอร์ VPN, เว็บเซิร์ฟเวอร์, เซิร์ฟเวอร์จดหมาย, ตัวโหลดบาลานซ์, ...


1
สิ่งที่ควรคำนึงถึง: เป็นไปได้ที่จะใช้ส่วนคีย์ส่วนตัวเดียวกันสำหรับคีย์ส่วนตัว SSH และใบรับรอง SSL ในกรณีนี้หากใช้รหัสใบรับรอง SSL บนเว็บเซิร์ฟเวอร์ที่มีช่องโหว่คุณจะต้องแทนที่คีย์ส่วนตัว SSH ที่ได้รับผลกระทบเช่นกัน (สำหรับการถูกเอาเปรียบใครบางคนจะต้องรู้ว่าคุณกำลังทำสิ่งนี้อยู่หรือคิดว่าจะลองทำ - มันเป็นประสบการณ์ที่แปลกมากในการกำหนดค่าของฉันดังนั้นฉันจึงสงสัยว่าใครจะคิดถึงมัน) ทั้งหมดที่กล่าวว่าไม่มีอะไรผิดปกติในการสร้างคีย์ส่วนตัว SSH ของคุณใหม่หากคุณต้องการ - ความหวาดระแวงเล็กน้อยไม่ใช่เรื่องเลวร้าย :-)
voretaq7

2

ดังนั้นดูเหมือนว่า SSH จะไม่ได้รับผลกระทบ:

โดยทั่วไปแล้วคุณจะได้รับผลกระทบหากคุณใช้เซิร์ฟเวอร์บางตัวที่คุณสร้างคีย์ SSL ในบางจุด ผู้ใช้ทั่วไปโดยทั่วไปจะไม่ได้รับผลกระทบ (โดยตรง) SSH ไม่ได้รับผลกระทบ การกระจายของแพ็คเกจ Ubuntu จะไม่ได้รับผลกระทบ (ขึ้นอยู่กับลายเซ็นของ GPG)

แหล่งที่มา: ถามอูบุนตู: วิธีการแก้ไข CVE-2014-0160 ใน OpenSSL?


1

แตกต่างจากสิ่งที่คนอื่นพูดที่นี่Schneier บอกว่าใช่

โดยทั่วไปแล้วผู้โจมตีสามารถคว้าหน่วยความจำ 64K จากเซิร์ฟเวอร์ การโจมตีไม่มีร่องรอยและสามารถทำได้หลายครั้งเพื่อจับหน่วยความจำ 64K แบบสุ่มที่แตกต่างกัน ซึ่งหมายความว่าทุกอย่างในหน่วยความจำ - คีย์ส่วนตัว SSL, คีย์ผู้ใช้, ทุกสิ่ง - มีความเสี่ยง และคุณต้องสมมติว่ามันถูกบุกรุกทั้งหมด ทั้งหมดของมัน.

ไม่ใช่ว่า ssh (ชนิดใด ๆ ) ได้รับผลกระทบโดยตรง แต่คีย์ ssh อาจถูกเก็บไว้ในหน่วยความจำและสามารถเข้าถึงหน่วยความจำได้ สิ่งนี้จะเก็บทุกอย่างไว้ในหน่วยความจำซึ่งถือว่าเป็นความลับ


ดูเหมือนว่าเขาจะให้ภาพรวมทั่วไปของปัญหากับประโยคนี้ มันเป็นครั้งแรกที่ผมได้ยินว่าทุกหน่วยความจำทั้งหมดของคุณได้สัมผัส จนถึงตอนนี้ความเข้าใจของฉันก็คือมีเพียงหน่วยความจำที่กระบวนการที่มีช่องโหว่นั้นเข้าถึงได้เท่านั้น ดูเพิ่มเติมที่: security.stackexchange.com/questions/55076/…
ขนม

0

OpenSSH ไม่ใช้ส่วนขยาย heartbeat ดังนั้น OpenSSH จึงไม่ได้รับผลกระทบ คีย์ของคุณควรจะปลอดภัยตราบเท่าที่ไม่มีกระบวนการ OpenSSL ซึ่งใช้การเต้นของหัวใจมีไว้ในหน่วยความจำ แต่มักจะไม่น่าจะเป็นไปได้

ดังนั้นหากคุณ / จำเป็นต้องหวาดระแวงบิตแทนที่พวกเขาหากไม่คุณสามารถนอนหลับได้ค่อนข้างดีโดยไม่ทำเช่นนั้น


SSH ไม่ได้ใช้ OpenSSL ความแตกต่างใหญ่ที่นั่น
จาค็อบ

2
OpenSSH ใช้ส่วน libcrypto ของ OpenSSL นั่นเป็นเหตุผลที่คุณต้องรีสตาร์ท SSH หลังจากอัปเดต OpenSSL นั่นเป็นสาเหตุที่บางคนถามว่าพวกเขาจะต้องเปลี่ยน SSH-Keys ของพวกเขาหรือไม่ ดูคำตอบของฉันด้านบน ... แล้วประเด็นของคุณคืออะไร?
เดนิสวิตต์
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.