我已经用补丁更新了我的服务器。
我是否需要重新生成与 OpenSSH 相关的任何私钥?我知道我必须重新生成任何 SSL 证书。
编辑:我说得不够准确。我知道这个漏洞在 openssl 中,但我问的是这对 openssh 有何影响,以及我是否需要重新生成 openssh 主机密钥。
答案1
该漏洞不会影响openssh它的影响openssl。
这是许多服务使用的库 - 包括openssh。
目前看来,这显然openssh不受此漏洞的影响,因为 OpenSSH 使用的是 SSH 协议,而不是易受攻击的 TLS 协议。您的 ssh 私钥不太可能位于内存中并被易受攻击的进程读取 - 并非不可能,但可能性不大。
当然,您仍然必须更新您的openssl版本。
请注意,如果您更新了,openssl您还需要重新启动使用它的所有服务。
其中包括 VPN 服务器、Web 服务器、邮件服务器、负载平衡器等软件……
答案2
因此看起来 SSH 不受影响:
一般来说,如果您运行某个服务器,并在某个时刻生成了 SSL 密钥,那么您就会受到影响。典型的最终用户不会(直接)受到影响。SSH 不会受到影响。Ubuntu 软件包的分发不会受到影响(它依赖于 GPG 签名)。
答案3
OpenSSH 不使用 heartbeat 扩展,因此 OpenSSH 不受影响。只要没有使用 heartbeat 的 OpenSSL 进程将密钥保存在内存中,您的密钥就应该是安全的,但这通常不太可能发生。
因此,如果您有点偏执,请更换它们,如果不是,那么即使不这样做您也可以睡得相对好。
答案4
与其他人在这里所说的不同施奈尔表示是的。
基本上,攻击者可以从服务器窃取 64K 内存。攻击不会留下任何痕迹,并且可以多次进行以窃取不同的随机 64K 内存。这意味着内存中的任何内容(SSL 私钥、用户密钥等)都容易受到攻击。而且您必须假设它们全部被盗用。全部。
并不是 ssh(任何类型)直接受到影响,而是 ssh 密钥可能存储在内存中,并且内存可以被访问。这几乎适用于存储在内存中的任何其他被视为机密的内容。