今天,在出现 heartbleed 漏洞后,我第一次更新了 Debian Wheezy 服务器。该服务器上未安装 OpenSSL,因此我认为服务器未受到影响,因此将其列入低优先级列表。
在更新服务器的过程中,我发现服务器上安装了存在 heartbleed 漏洞的库“libssl”,而 OpenSSH 依赖这个易受攻击的库。OpenSSH 服务器甚至自动重启。配置为接受密码的 OpenSSH 服务器是这台机器上唯一面向互联网的服务。
该服务器是否有可能已经以某种方式受到攻击,从而导致心脏出血漏洞?
在问这个问题之前,我当然一直在寻找答案,但几乎所有关于 OpenSSH 和 heartbleed 的问题都来自 4 月 8 日,而对于 OpenSSH 是否受到影响的答案都是这样的:“它可能会受到影响”、“它可能不受影响”、“我不认为 OpenSSH 受到影响” “任何与 libssl 链接的东西都会受到影响”等等,所以没有明确的答案。
答案1
简而言之:SSH 不使用 TLS,因此不受 heartbleed 漏洞的影响。
配置为接受密码的OpenSSH服务器是该机器上面向互联网的唯一服务。
不要那样做。
该服务器是否有可能已经以某种方式受到攻击,从而导致心脏出血漏洞?
魔法八球说道:我的消息来源说不是这样的。