क्या मुझे हार्टलेस के जवाब में ओपनएसएसएच के लिए कुंजी बदलने की आवश्यकता है?

9

मैंने पहले ही अपने सर्वर को पैच के साथ अपडेट कर दिया है।

क्या मुझे ओपनएसएसएच के संबंध में किसी भी निजी कुंजी को पुनर्जीवित करने की आवश्यकता है? मुझे पता है कि मुझे किसी भी एसएसएल प्रमाणपत्र को पुनर्जीवित करना होगा।

संपादित करें: मैंने इसे सटीक रूप से पर्याप्त नहीं कहा था। मुझे पता है कि सुरक्षाछिद्र खुलने की स्थिति में है, लेकिन मैं पूछ रहा था कि यह खुलने के समय पर कैसे प्रभाव डालता है, और क्या मुझे खुलने वाली मेजबान कुंजी को फिर से बनाने की जरूरत है।

ssh heartbleed

— ऑली
स्रोत

1

वास्तव में यह शायद serverfault.com/questions/587329/…

— faker

आपके पहले और तीसरे पैराग्राफ विरोधाभासी लगते हैं।

— बजे एक CVn

@faker वास्तव में नहीं - यह प्रश्न SSH के बारे में कुछ भी नहीं

— बताता है

संबंधित प्रश्न: serverfault.com/questions/587433/…

— voretaq7

5

भेद्यता opensshइसे प्रभावित नहीं करती है openssl।
जो कई सेवाओं द्वारा उपयोग किया जाने वाला एक पुस्तकालय है - सहित openssh।

इस समय यह स्पष्ट लगता है कि opensshइस भेद्यता से प्रभावित नहीं है, क्योंकि ओपनएसएसएच एसएसएच प्रोटोकॉल का उपयोग करता है, न कि कमजोर टीएलएस प्रोटोकॉल का। यह संभव नहीं है कि आपकी ssh निजी कुंजी मेमोरी में हो और पढ़ने योग्य हो, जो कि कमजोर हो - असंभव नहीं है।

बेशक आपको अभी भी अपने opensslसंस्करण को अपडेट करना होगा ।
ध्यान दें कि यदि आपने अपडेट किया है तो आपको opensslउन सभी सेवाओं को पुनः आरंभ करने की आवश्यकता है जो इसका उपयोग कर रहे हैं।
जिसमें वीपीएन सर्वर, वेबसर्वर, मेल सर्वर, लोड बैलेंसर, जैसे सॉफ्टवेयर शामिल हैं ...

— ठग
स्रोत

1

कुछ ध्यान में रखना: एसएसएच निजी कुंजी और एसएसएल प्रमाणपत्र के लिए एक ही निजी कुंजी भाग का उपयोग करना संभव है । इस स्थिति में यदि SSL प्रमाणपत्र कुंजी का उपयोग एक कमजोर वेब सर्वर पर किया गया था, तो आपको प्रभावित SSH निजी कुंजी को भी बदलना होगा। (इसके लिए किसी का शोषण करने के लिए आपको यह जानने की आवश्यकता होगी कि आप यह कर रहे हैं, या इसे आज़माने के लिए सोचें - यह मेरे अनुभव में एक बहुत ही असामान्य कॉन्फ़िगरेशन है, इसलिए मुझे संदेह है कि कोई भी इसके बारे में सोचेगा)। सभी ने कहा कि अगर आप चाहते हैं कि आपकी SSH निजी कुंजी (ओं) को पुनर्जीवित करने में कुछ भी गलत नहीं है, तो थोड़ा व्यामोह कोई बुरी बात नहीं है :-)

— voretaq7

2

तो ऐसा लगता है कि SSH अप्रभावित है:

आम तौर पर, यदि आप कुछ सर्वर चलाते हैं, जहां आपने किसी बिंदु पर SSL कुंजी उत्पन्न की है, तो आप प्रभावित होते हैं। विशिष्ट एंड-यूज़र प्रभावित (सीधे) नहीं हैं। SSH प्रभावित नहीं है। उबंटू संकुल का वितरण प्रभावित नहीं है (यह GPG हस्ताक्षर पर निर्भर करता है)।

स्रोत: ubuntu से पूछें: ओपनएसएसएल में CVE-2014-0160 कैसे पैच करें?

— ऑली
स्रोत

1

अन्य लोगों ने यहां जो कहा है, उसके अंतर में, श्नाइयर हां कहते हैं।

असल में, एक हमलावर एक सर्वर से 64K मेमोरी हड़प सकता है। हमला कोई निशान नहीं छोड़ता है, और एक अलग यादृच्छिक 64K मेमोरी को हथियाने के लिए कई बार किया जा सकता है। इसका मतलब है कि मेमोरी में कुछ भी - एसएसएल निजी कुंजी, उपयोगकर्ता कुंजी, कुछ भी - कमजोर है। और आपको यह मानना होगा कि यह सब समझौता है। यह सब।

ऐसा नहीं है कि ssh (किसी भी प्रकार का) सीधे प्रभावित था, लेकिन उस ssh कीज़ को मेमोरी में स्टोर किया जा सकता है और मेमोरी को एक्सेस किया जा सकता है। यह स्मृति में संग्रहीत किसी और चीज़ के लिए जाता है जिसे गुप्त माना जाता है।

— जेरेमी फ्रेंच
स्रोत

वह इस वाक्य के साथ समस्या का बहुत सामान्य अवलोकन देता है। यह पहली बार मैंने सुना है कि है सब अपने सभी स्मृति संपर्क में था। अब तक मेरी समझ यह है कि केवल स्मृति जिसमें कमजोर प्रक्रिया का उपयोग होता है, उजागर होती है। इसे भी देखें: सुरक्षा

— .stackexchange.com

0

OpenSSH दिल की धड़कन के विस्तार का उपयोग नहीं करता है, इसलिए OpenSSH प्रभावित नहीं होता है। आपकी कीज़ तब तक सुरक्षित रहनी चाहिए जब तक कि ओपनएसएसएल प्रक्रिया न हो, जो दिल की धड़कन का उपयोग करें, उनकी स्मृति में उनके पास था, लेकिन यह आमतौर पर बहुत संभावना नहीं है।

इसलिए अगर आपको थोड़ा संभल कर रहने की जरूरत है, अगर आप ऐसा नहीं करते हैं तो आप अपेक्षाकृत अच्छी नींद ले सकते हैं।

— डेनिस विट
स्रोत

SSH OpenSSL का उपयोग नहीं करता है। वहां बड़ा अंतर।

— जैकब

2

OpenSSH OpenSSL के libcrypto भाग का उपयोग करता है। इसलिए आपको ओपनएसएसएल को अपडेट करने के बाद एसएसएच को पुनरारंभ करना होगा। इसलिए कुछ लोग पूछ रहे हैं कि क्या उन्हें अपने SSH-Keys को बदलना है। मेरा जवाब ऊपर देखिए ... तो आपकी बात क्या है?

— डेनिस विट