Vraag Moet ik sleutels voor OpenSSH vervangen als reactie op Heartbleed?


Ik heb mijn servers al bijgewerkt met de patches.

Moet ik persoonlijke sleutels opnieuw genereren met betrekking tot OpenSSH? Ik weet dat ik alle SSL-certificaten moet regenereren.

BEWERK: Ik heb dit niet voldoende nauwkeurig gezegd. Ik weet dat de kwetsbaarheid zich in openssl bevindt, maar ik vroeg me af hoe dit van invloed is op openssh en of ik de openssh-hostsleutels opnieuw moet genereren.


9
2018-04-08 10:11


oorsprong


Eigenlijk is dit waarschijnlijk een duplicaat van serverfault.com/questions/587329/... - faker
Je eerste en derde alinea lijken tegenstrijdig. - α CVn
@faker Niet echt - die vraag heeft niets over SSH te maken ... - voretaq7
Gerelateerde vraag: serverfault.com/questions/587433/... - voretaq7


antwoorden:


Het beveiligingslek heeft geen invloed op openssh het beinvloedt openssl.
Dat is een bibliotheek die door veel diensten wordt gebruikt - inclusief openssh.

Op dit moment lijkt het duidelijk dat openssh wordt niet beïnvloed door dit beveiligingslek, omdat OpenSSH het SSH-protocol gebruikt en niet het kwetsbare TLS-protocol. Het is onwaarschijnlijk dat uw SSH private sleutel in het geheugen zit en leesbaar is door een proces dat kwetsbaar is - niet onmogelijk maar onwaarschijnlijk.

Natuurlijk moet je nog steeds je updaten openssl versie.
Merk op dat als je geüpdatet hebt openssl u moet ook alle services opnieuw starten die deze gebruiken.
Dat omvat software zoals VPN-server, webserver, mailserver, load balancer, ...


5
2018-04-08 10:16



Iets om in gedachten te houden: Het is mogelijk om hetzelfde privésleutelgedeelte te gebruiken voor een SSH privésleutel en een SSL-certificaat. In dit geval, als de SSL-certificaatsleutel werd gebruikt op een kwetsbare webserver, zou u ook de betreffende SSH Private Key moeten vervangen. (Om te worden uitgebuit, zou iemand dat moeten doen weten je doet dit, of denkt het te proberen - het is een ZEER ongewone configuratie in mijn ervaring, dus ik betwijfel of iemand het zou bedenken). Dat gezegd hebbende, er is niets mis met het regenereren van je SSH Private Key (s) als je dat wilt - een beetje paranoia is geen slechte zaak :-) - voretaq7


Het lijkt er dus op dat SSH onaangetast is:

Over het algemeen wordt dit beïnvloed als u een server uitvoert waarop u op enig moment een SSL-sleutel hebt gegenereerd. Typische eindgebruikers worden niet (direct) getroffen. SSH wordt niet beïnvloed. De distributie van Ubuntu-pakketten wordt niet beïnvloed (het is afhankelijk van GPG-handtekeningen).

Bron: vraag ubuntu: Hoe CVE-2014-0160 in OpenSSL te patchen?


2
2018-04-08 10:47





In tegenstelling tot wat anderen hier hebben gezegd Schneier zegt ja. 

Kortom, een aanvaller kan 64K geheugen van een server halen. De   aanval laat geen spoor na en kan meerdere keren worden gedaan om een ​​te pakken   verschillende willekeurige 64K geheugen. Dit betekent dat alles in het geheugen -   SSL-privésleutels, gebruikerssleutels, alles - is kwetsbaar. En je hebt   om aan te nemen dat het allemaal in gevaar is. Alles.

Het is niet dat ssh (elk type) direct werd beïnvloed, maar dat ssh-sleutels kunnen worden opgeslagen in het geheugen en dat het geheugen toegankelijk is. Dit geldt voor zo ongeveer alles dat in het geheugen is opgeslagen en dat als geheim wordt beschouwd.


1
2018-04-09 12:54



Hij lijkt een heel algemeen overzicht te geven van het probleem met deze zin. Het is de eerste keer dat ik dat hoor allemaal al je geheugen was ontmaskerd. Tot dusverre heb ik begrepen dat alleen geheugen waaraan het kwetsbare proces toegang heeft, wordt onthuld. Zie ook: security.stackexchange.com/questions/55076/... - faker


OpenSSH gebruikt de heartbeat-extensie niet, dus OpenSSH wordt niet beïnvloed. Uw sleutels moeten veilig zijn zolang geen OpenSSL-proces dat gebruik maakt van heartbeat hen in hun geheugen heeft gehad, maar dat is meestal zeer onwaarschijnlijk.

Dus als je een beetje paranoïde bent / moet zijn, vervang ze dan, anders kan je relatief goed slapen zonder dat te doen.


0
2018-04-08 19:57



SSH gebruikt OpenSSL niet. Groot verschil daar. - Jacob
OpenSSH maakt gebruik van het libcrypto-gedeelte van OpenSSL. Daarom moet u SSH opnieuw opstarten na het updaten van OpenSSL. Daarom vragen sommige mensen of ze hun SSH-sleutels moeten vervangen. Zie mijn antwoord hierboven ... Dus wat is uw punt precies? - Denis Witt