¿Necesito reemplazar claves para OpenSSH en respuesta a Heartbleed?

9

Ya actualicé mis servidores con los parches.

¿Necesito regenerar claves privadas con respecto a OpenSSH? Sé que tengo que regenerar cualquier certificado SSL.

EDITAR: No dije esto con suficiente precisión. Sé que la vulnerabilidad está en openssl, pero estaba preguntando cómo esto afecta a openssh, y si necesito volver a generar las claves de host de openssh.

ssh heartbleed Olly
fuente
1
En realidad esto es probablemente un duplicado de serverfault.com/questions/587329/...
falsificador
Sus párrafos primero y tercero parecen contradictorios.
un CVn
@faker No realmente: esa pregunta no aborda nada sobre SSH ...
voretaq7
Pregunta relacionada: serverfault.com/questions/587433/…
voretaq7

Respuestas:

5

La vulnerabilidad no afecta openssh, afecta openssl.
Que es una biblioteca utilizada por muchos servicios, incluidos openssh.

En este momento, parece claro que opensshesta vulnerabilidad no se ve afectada, porque OpenSSH utiliza el protocolo SSH, no el protocolo TLS vulnerable. Es poco probable que su clave privada ssh esté en la memoria y sea legible por un proceso que sea vulnerable, no imposible pero poco probable.

Por supuesto, aún debe actualizar su opensslversión.
Tenga en cuenta que si actualizó openssltambién necesita reiniciar todos los servicios que lo están utilizando.
Eso incluye software como servidor VPN, servidor web, servidor de correo, equilibrador de carga, ...

falsificador
fuente
1
Algo a tener en cuenta: es posible utilizar la misma parte de clave privada para una clave privada SSH y un certificado SSL. En este caso, si la clave del certificado SSL se utilizó en un servidor web vulnerable, también deberá reemplazar la clave privada SSH afectada. (Para que esto sea explotado, alguien necesitaría saber que estás haciendo esto, o pensar en probarlo; es una configuración MUY inusual en mi experiencia, así que dudo que alguien piense en ello). Dicho todo esto no hay nada malo con la regeneración de su clave privada SSH (s) si se quiere - un poco de paranoia no es una mala cosa :-)
voretaq7
2

Entonces parece que SSH no se ve afectado:

En general, se ve afectado si ejecuta algún servidor donde generó una clave SSL en algún momento. Los usuarios finales típicos no se ven afectados (directamente). SSH no se ve afectado. La distribución de los paquetes de Ubuntu no se ve afectada (se basa en firmas GPG).

Fuente: preguntar ubuntu: ¿Cómo parchear CVE-2014-0160 en OpenSSL?

Olly
fuente
1

A diferencia de lo que otros han dicho aquí, Schneier dice que sí.

Básicamente, un atacante puede obtener 64K de memoria de un servidor. El ataque no deja rastro y se puede hacer varias veces para obtener una memoria aleatoria diferente de 64K. Esto significa que cualquier cosa en la memoria (claves privadas SSL, claves de usuario, cualquier cosa) es vulnerable. Y debes asumir que todo está comprometido. Todo ello.

No es que ssh (cualquier tipo) se haya visto directamente afectado, sino que las claves ssh pueden almacenarse en la memoria y se puede acceder a la memoria. Esto se aplica a casi todo lo demás almacenado en la memoria que se considera secreto.

Jeremy French
fuente
Parece dar una visión general muy general del problema con esta oración. Es la primera vez que escucho que toda toda la memoria se expone. Hasta ahora, entiendo que solo se expone la memoria a la que tiene acceso el proceso vulnerable. Consulte también: security.stackexchange.com/questions/55076/…
faker
0

OpenSSH no usa la extensión heartbeat, por lo que OpenSSH no se ve afectado. Sus claves deben estar seguras siempre que no haya ningún proceso OpenSSL que haga uso de los latidos del corazón en su memoria, pero eso generalmente es muy poco probable.

Entonces, si usted es / necesita ser un poco paranoico, reemplácelos, si no, puede dormir relativamente bien sin hacerlo.

Denis Witt
fuente
SSH no usa OpenSSL. Gran diferencia allí.
Jacob
2
OpenSSH usa la parte libcrypto de OpenSSL. Es por eso que debe reiniciar SSH después de actualizar OpenSSL. Es por eso que algunas personas preguntan si tienen que reemplazar sus SSH-Keys. Vea mi respuesta arriba ... Entonces, ¿cuál es su punto exactamente?
Denis Witt