Apakah Saya Perlu Mengganti Kunci untuk OpenSSH sebagai Respons terhadap Heartbleed?

Saya sudah memperbarui server saya dengan tambalan.

Apakah saya perlu membuat ulang kunci pribadi apa pun sehubungan dengan OpenSSH? Saya tahu bahwa saya harus membuat ulang sertifikat SSL.

EDIT: Saya tidak mengatakan ini dengan cukup akurat. Saya tahu kerentanannya ada di openssl, tapi saya bertanya bagaimana ini berdampak pada openssh, dan apakah saya perlu membuat kembali kunci host openssh.

Kerentanan tidak memengaruhi opensshitu memengaruhi openssl.
Yang merupakan perpustakaan yang digunakan oleh banyak layanan - termasuk openssh.

Pada titik ini tampaknya sudah jelas bahwa opensshtidak terpengaruh oleh kerentanan ini, karena OpenSSH menggunakan protokol SSH, bukan protokol TLS yang rentan. Tidak mungkin bahwa kunci privat ssh Anda ada di memori dan dapat dibaca oleh proses yang rentan - bukan tidak mungkin tetapi tidak mungkin.

Tentu saja Anda masih harus memperbarui opensslversi Anda .
Perhatikan bahwa jika Anda memperbarui opensslAnda juga perlu me-restart semua layanan yang menggunakannya.
Itu termasuk perangkat lunak seperti server VPN, server web, server surat, load balancer, ...

Jadi sepertinya SSH tidak terpengaruh:

Secara umum, Anda terpengaruh jika Anda menjalankan beberapa server di mana Anda menghasilkan kunci SSL di beberapa titik. Pengguna akhir yang khas tidak (langsung) terpengaruh. SSH tidak terpengaruh. Distribusi paket Ubuntu tidak terpengaruh (bergantung pada tanda tangan GPG).

Sumber: ask ubuntu: Bagaimana cara menambal CVE-2014-0160 di OpenSSL?

Berbeda dari apa yang dikatakan orang lain di sini, Schneier mengatakan ya.

Pada dasarnya, seorang penyerang dapat mengambil 64K memori dari server. Serangan itu tidak meninggalkan jejak, dan dapat dilakukan beberapa kali untuk mengambil memori acak 64K yang berbeda. Ini berarti bahwa apa pun yang ada dalam memori - kunci pribadi SSL, kunci pengguna, apa pun - rentan. Dan Anda harus berasumsi bahwa itu semua dikompromikan. Semua itu.

Bukan karena ssh (jenis apa pun) secara langsung terpengaruh, tetapi bahwa kunci ssh dapat disimpan dalam memori dan memori dapat diakses. Ini berlaku untuk hal lain yang tersimpan dalam memori yang dianggap rahasia.

OpenSSH tidak menggunakan ekstensi detak jantung, jadi OpenSSH tidak terpengaruh. Kunci Anda harus aman selama tidak ada proses OpenSSL yang memanfaatkan detak jantung dalam memori mereka, tetapi itu biasanya sangat tidak mungkin.

Jadi jika Anda / perlu sedikit paranoid gantikan mereka, jika tidak Anda bisa tidur relatif nyenyak tanpa melakukannya.