Apakah Saya Perlu Mengganti Kunci untuk OpenSSH sebagai Respons terhadap Heartbleed?


9

Saya sudah memperbarui server saya dengan tambalan.

Apakah saya perlu membuat ulang kunci pribadi apa pun sehubungan dengan OpenSSH? Saya tahu bahwa saya harus membuat ulang sertifikat SSL.

EDIT: Saya tidak mengatakan ini dengan cukup akurat. Saya tahu kerentanannya ada di openssl, tapi saya bertanya bagaimana ini berdampak pada openssh, dan apakah saya perlu membuat kembali kunci host openssh.


1
Sebenarnya ini mungkin merupakan duplikat dari serverfault.com/questions/587329/…
faker

Paragraf pertama dan ketiga Anda tampaknya saling bertentangan.
CVn

@faker Tidak juga - pertanyaan itu tidak membahas apa pun tentang SSH ...
voretaq7

Jawaban:


5

Kerentanan tidak memengaruhi opensshitu memengaruhi openssl.
Yang merupakan perpustakaan yang digunakan oleh banyak layanan - termasuk openssh.

Pada titik ini tampaknya sudah jelas bahwa opensshtidak terpengaruh oleh kerentanan ini, karena OpenSSH menggunakan protokol SSH, bukan protokol TLS yang rentan. Tidak mungkin bahwa kunci privat ssh Anda ada di memori dan dapat dibaca oleh proses yang rentan - bukan tidak mungkin tetapi tidak mungkin.

Tentu saja Anda masih harus memperbarui opensslversi Anda .
Perhatikan bahwa jika Anda memperbarui opensslAnda juga perlu me-restart semua layanan yang menggunakannya.
Itu termasuk perangkat lunak seperti server VPN, server web, server surat, load balancer, ...


1
Sesuatu yang perlu diingat: Adalah mungkin untuk menggunakan bagian kunci pribadi yang sama untuk Kunci Pribadi SSH dan Sertifikat SSL. Dalam hal ini jika kunci sertifikat SSL digunakan pada server web yang rentan, Anda juga perlu mengganti Kunci Pribadi SSH yang terpengaruh. (Agar ini dapat dieksploitasi, seseorang perlu tahu Anda melakukan ini, atau berpikir untuk mencobanya - ini adalah konfigurasi yang SANGAT tidak biasa dalam pengalaman saya, jadi saya ragu ada yang akan memikirkannya). Semua itu mengatakan tidak ada yang salah dengan regenerasi SSH Private Key Anda jika Anda mau - sedikit paranoia bukanlah hal yang buruk :-)
voretaq7

2

Jadi sepertinya SSH tidak terpengaruh:

Secara umum, Anda terpengaruh jika Anda menjalankan beberapa server di mana Anda menghasilkan kunci SSL di beberapa titik. Pengguna akhir yang khas tidak (langsung) terpengaruh. SSH tidak terpengaruh. Distribusi paket Ubuntu tidak terpengaruh (bergantung pada tanda tangan GPG).

Sumber: ask ubuntu: Bagaimana cara menambal CVE-2014-0160 di OpenSSL?


1

Berbeda dari apa yang dikatakan orang lain di sini, Schneier mengatakan ya.

Pada dasarnya, seorang penyerang dapat mengambil 64K memori dari server. Serangan itu tidak meninggalkan jejak, dan dapat dilakukan beberapa kali untuk mengambil memori acak 64K yang berbeda. Ini berarti bahwa apa pun yang ada dalam memori - kunci pribadi SSL, kunci pengguna, apa pun - rentan. Dan Anda harus berasumsi bahwa itu semua dikompromikan. Semua itu.

Bukan karena ssh (jenis apa pun) secara langsung terpengaruh, tetapi bahwa kunci ssh dapat disimpan dalam memori dan memori dapat diakses. Ini berlaku untuk hal lain yang tersimpan dalam memori yang dianggap rahasia.


Dia tampaknya memberikan gambaran yang sangat umum tentang masalah dengan kalimat ini. Ini pertama kalinya saya mendengar bahwa semua memori Anda terekspos. Sejauh ini pemahaman saya adalah bahwa hanya memori yang diakses oleh proses yang rentan. Lihat juga: security.stackexchange.com/questions/55076/…
faker

0

OpenSSH tidak menggunakan ekstensi detak jantung, jadi OpenSSH tidak terpengaruh. Kunci Anda harus aman selama tidak ada proses OpenSSL yang memanfaatkan detak jantung dalam memori mereka, tetapi itu biasanya sangat tidak mungkin.

Jadi jika Anda / perlu sedikit paranoid gantikan mereka, jika tidak Anda bisa tidur relatif nyenyak tanpa melakukannya.


SSH tidak menggunakan OpenSSL. Perbedaan besar di sana.
Yakub

2
OpenSSH menggunakan bagian libcrypto dari OpenSSL. Itu sebabnya Anda harus memulai ulang SSH setelah memperbarui OpenSSL. Itu sebabnya beberapa orang bertanya apakah mereka harus mengganti SSH-Keys mereka. Lihat jawaban saya di atas ... Jadi, apa sebenarnya poin Anda?
Denis Witt
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.