Muss ich als Reaktion auf Heartbleed die Schlüssel für OpenSSH ersetzen?

9

Ich habe meine Server bereits mit den Patches aktualisiert.

Muss ich private Schlüssel in Bezug auf OpenSSH neu generieren? Ich weiß, dass ich alle SSL-Zertifikate neu generieren muss.

EDIT: Ich habe das nicht genau genug formuliert. Ich weiß, dass die Sicherheitsanfälligkeit in openssl liegt, aber ich habe gefragt, wie sich dies auf openssh auswirkt und ob ich die openssh-Hostschlüssel neu generieren muss.

Olly
quelle
1
Eigentlich ist dies wahrscheinlich ein Duplikat von serverfault.com/questions/587329/…
faker
Ihr erster und dritter Absatz scheinen widersprüchlich.
Ein
@faker Nicht wirklich - diese Frage spricht nichts über SSH an ...
voretaq7
Verwandte Frage: serverfault.com/questions/587433/…
voretaq7

Antworten:

5

Die Sicherheitsanfälligkeit wirkt sich nicht auf opensshsie wirkt openssl.
Welches ist eine Bibliothek, die von vielen Diensten verwendet wird - einschließlich openssh.

Zu diesem Zeitpunkt scheint klar zu sein, dass opensshdiese Sicherheitsanfälligkeit nicht betroffen ist, da OpenSSH das SSH-Protokoll und nicht das anfällige TLS-Protokoll verwendet. Es ist unwahrscheinlich, dass sich Ihr privater SSH-Schlüssel im Speicher befindet und von einem anfälligen Prozess gelesen werden kann - nicht unmöglich, aber unwahrscheinlich.

Natürlich müssen Sie Ihre opensslVersion noch aktualisieren .
Beachten Sie, dass Sie bei einem Update opensslauch alle Dienste neu starten müssen, die es verwenden.
Dazu gehören Software wie VPN-Server, Webserver, Mailserver, Load Balancer, ...

Schwindler
quelle
1
Beachten Sie Folgendes: Es ist möglich, denselben privaten Schlüssel für einen privaten SSH-Schlüssel und ein SSL-Zertifikat zu verwenden. In diesem Fall müssten Sie, wenn der SSL-Zertifikatschlüssel auf einem anfälligen Webserver verwendet wurde, auch den betroffenen privaten SSH-Schlüssel ersetzen. (Damit dies ausgenutzt werden kann, muss jemand wissen , dass Sie dies tun, oder darüber nachdenken, es zu versuchen - es ist meiner Erfahrung nach eine SEHR ungewöhnliche Konfiguration, daher bezweifle ich, dass irgendjemand daran denken würde). Alles in allem ist nichts falsch daran, Ihre privaten SSH-Schlüssel neu zu
generieren,
2

Es scheint also, dass SSH nicht betroffen ist:

Im Allgemeinen sind Sie betroffen, wenn Sie einen Server ausführen, auf dem Sie irgendwann einen SSL-Schlüssel generiert haben. Typische Endbenutzer sind nicht (direkt) betroffen. SSH ist nicht betroffen. Die Verteilung von Ubuntu-Paketen ist nicht betroffen (sie basiert auf GPG-Signaturen).

Quelle: ask ubuntu: Wie kann ich CVE-2014-0160 in OpenSSL patchen?

Olly
quelle
1

Im Unterschied zu dem, was andere hier gesagt haben, sagt Schneier ja.

Grundsätzlich kann ein Angreifer 64 KB Speicher von einem Server abrufen. Der Angriff hinterlässt keine Spuren und kann mehrmals ausgeführt werden, um einen anderen zufälligen 64-KB-Speicher abzurufen. Dies bedeutet, dass alles im Speicher - private SSL-Schlüssel, Benutzerschlüssel, alles - anfällig ist. Und Sie müssen davon ausgehen, dass alles kompromittiert ist. Alles davon.

Es ist nicht so, dass ssh (irgendein Typ) direkt betroffen war, sondern dass ssh-Schlüssel im Speicher gespeichert werden können und auf den Speicher zugegriffen werden kann. Dies gilt für fast alles andere, was im Speicher gespeichert ist und als geheim gilt.

Jeremy French
quelle
Er scheint mit diesem Satz einen sehr allgemeinen Überblick über das Problem zu geben. Es ist das erste Mal , dass ich höre , dass alle Ihre Speicher ausgesetzt waren. Bisher habe ich verstanden, dass nur Speicher verfügbar ist, auf den der anfällige Prozess Zugriff hat. Siehe auch: security.stackexchange.com/questions/55076/…
faker
0

OpenSSH verwendet die Heartbeat-Erweiterung nicht, daher ist OpenSSH nicht betroffen. Ihre Schlüssel sollten sicher sein, solange kein OpenSSL-Prozess, der Heartbeat verwendet, sie in ihrem Speicher hat, aber das ist normalerweise sehr unwahrscheinlich.

Wenn Sie also ein bisschen paranoid sind / sein müssen, ersetzen Sie sie, wenn nicht, können Sie relativ gut schlafen, ohne dies zu tun.

Denis Witt
quelle
SSH verwendet OpenSSL nicht. Großer Unterschied da.
Jacob
2
OpenSSH verwendet den libcrypto-Teil von OpenSSL. Aus diesem Grund müssen Sie SSH nach dem Update von OpenSSL neu starten. Deshalb fragen einige Leute, ob sie ihre SSH-Schlüssel ersetzen müssen. Siehe meine Antwort oben ... Also, was genau ist dein Punkt?
Denis Witt