क्या हार्दिक ssh कीज़ को प्रभावित करता है?


40

क्या हाल ही में हार्दिक बग ने ssh कीज़ को प्रभावित किया है जो मैंने उत्पन्न किया है और गिथब, हरोकू और अन्य समान साइटों के साथ कोड को पुश / पुल करने के लिए उपयोग किया है?

क्या मुझे उन कुंजियों को बदलने की आवश्यकता है जो मैं उपयोग कर रहा हूं?

जवाबों:


47

नहीं, नाराज़गी वास्तव में SSH कुंजी को प्रभावित नहीं करती है, इसलिए आपको संभवतः SSH कुंजी को बदलने की आवश्यकता नहीं है जो आप उपयोग कर रहे हैं।

सबसे पहले, एसएसएल और एसएसएच दो अलग-अलग उपयोगों के लिए दो अलग-अलग सुरक्षा प्रोटोकॉल हैं। इसी तरह, ओपनएसएसएल और ओपनएसएसएच भी अपने नाम में समानता के बावजूद दो पूरी तरह से अलग सॉफ्टवेयर पैकेज हैं।

दूसरा, हार्दिक शोषण, असुरक्षित ओपनएसएसएल टीएलएस / डीटीएलएस पीयर का कारण बनता है, जिससे स्मृति का 64kB यादृच्छिक रूप से वापस आ जाता है, लेकिन यह निश्चित रूप से उस ओपनएसएसएल-उपयोग प्रक्रिया के लिए सुलभ मेमोरी तक सीमित है। यदि उस ओपनएसएसएल-उपयोग प्रक्रिया में आपकी एसएसएच निजी कुंजी तक पहुंच नहीं है, तो वह इसे हार्टब्लेड के माध्यम से लीक नहीं कर सकता है।

इसके अलावा, आप आम तौर पर केवल उन सर्वरों पर अपनी SSH सार्वजनिक कुंजी डालते हैं जिन्हें आप SSH से कनेक्ट करने के लिए उपयोग करते हैं, और जैसा कि नाम से ही स्पष्ट है, एक सार्वजनिक कुंजी वह कुंजी है जिसे आप सार्वजनिक कर सकते हैं। इससे कोई फर्क नहीं पड़ता कि कौन इसे जानता है। वास्तव में, आप चाहते हैं कि जनता आपकी सही सार्वजनिक कुंजी जानना चाहती है।

यह इंगित करने के लिए @ याकूब का धन्यवाद कि भेद्यता उन क्लाइंट ऐप्स को प्रभावित कर सकती है जो OpenSSL के असुरक्षित संस्करणों को अपने क्लाइंट-साइड TLS / DTLS लाइब्रेरी के रूप में उपयोग करते हैं। इसलिए, उदाहरण के लिए, आपके वेब ब्राउज़र या आपके एसएसएल-आधारित वीपीएन क्लाइंट ने ओपनएसएसएल के एक कमजोर संस्करण का उपयोग किया है, और एक दुर्भावनापूर्ण सर्वर से जुड़ा है, जो दुर्भावनापूर्ण सर्वर उस क्लाइंट सॉफ़्टवेयर की मेमोरी के यादृच्छिक स्निपेट को देखने के लिए हार्टलेड का उपयोग कर सकता है। यदि किसी कारण से उस क्लाइंट ऐप में मेमोरी में आपकी SSH निजी कुंजियों की एक प्रति है, तो यह हार्टब्लेड के माध्यम से लीक हो सकता है।

मेरे सिर के ऊपर से, मैं SSH के अलावा किसी भी सॉफ्टवेयर के बारे में नहीं सोच रहा हूँ, जिसमें मेमोरी में आपके अनएन्क्रिप्टेड SSH प्राइवेट की कॉपी हो सकती है। ठीक है, कि आप अपने SSH निजी कुंजी को डिस्क पर एन्क्रिप्टेड रखते हैं। यदि आप अपनी SSH निजी कुंजियों को डिस्क पर एन्क्रिप्ट नहीं रखते हैं, तो मुझे लगता है कि आप नेटवर्क पर अपने होम डायरेक्टरी को कॉपी या बैक करने के लिए कुछ OpenSSL TLS- फाइल स्थानांतरण या बैकअप प्रोग्राम का उपयोग कर सकते थे (आपकी ~/.ssh/id_rsaया अन्य SSH निजी कुंजी सहित) ), तो यह मेमोरी में आपकी SSH निजी कुंजी की अनएन्क्रिप्टेड कॉपी हो सकती है। फिर से, यदि आप दुर्भावनापूर्ण सर्वर को अपनी अनएन्क्रिप्टेड SSH निजी कुंजी का बैकअप दे रहे थे, तो आपको हार्टबल की तुलना में शायद बड़ी चिंताएं हैं। :-)


3
ध्यान दें कि सार्वजनिक टिप्पणी वास्तव में अप्रासंगिक है - हार्दिक ग्राहकों और सर्वरों दोनों को प्रभावित करता है। लेकिन आप सही हैं कि एसएसएच अलग है और इस विशेष भेद्यता से प्रभावित नहीं है
बॉब

1
@ थैंक्यू, हार्दिक राइटअप इतना सर्वर-केंद्रित है कि मुझे क्लाइंट-साइड रेमूलेशन का एहसास नहीं हुआ। मैंने अपना उत्तर बेहतर पते पर अपडेट कर दिया है। मुझे अभी भी लगता है कि लोगों को एसएसएच की निजी कुंजी कहीं न कहीं छोड़ देने की संभावना नहीं है कि हार्टबल-कमजोर प्रक्रिया इसे लीक करने में सक्षम हो सकती है।
Spiff

1
एक का उल्लेख करना चाहिए कि SSH एन्क्रिप्शन के लिए OpenSSL लाइब्रेरी का उपयोग करता है। जैसा कि आपने बताया, हालांकि, ssh हार्दिक शोषण से प्रभावित नहीं है क्योंकि यह एक अलग प्रोटोकॉल है।
Psibar

1

"दूसरा, हार्दिक शोषण के कारण असुरक्षित ओपनएसएसएल टीएलएस / डीटीएलएस पीयर को स्मृति के यादृच्छिक 64kB को लौटाने का कारण बनता है, लेकिन यह निश्चित रूप से उस ओपनएसएसएल-उपयोग प्रक्रिया के लिए सुलभ मेमोरी तक सीमित है।"

यदि मशीन समझौता कर लेती है तो आप उस पर कुछ भी कैसे भरोसा कर सकते हैं, जिसमें ssh भी शामिल है? heartbleed.com से

“अभ्यास में क्या लीक?

हमने हमलावरों के दृष्टिकोण से अपनी स्वयं की कुछ सेवाओं का परीक्षण किया है। हमने बिना किसी निशान छोड़े, बाहर से खुद पर हमला किया। किसी भी विशेषाधिकार प्राप्त जानकारी या क्रेडेंशियल्स का उपयोग किए बिना हम अपने X.509 प्रमाण पत्र, उपयोगकर्ता नाम और पासवर्ड, त्वरित संदेश, ईमेल और व्यावसायिक महत्वपूर्ण दस्तावेजों और संचार के लिए उपयोग की जाने वाली गुप्त कुंजियों को खुद से चोरी करने में सक्षम थे। "

किसी ने एक निजी कुंजी लगाई हो सकती है, जिसमें कोई पासफ़्रेज़ नहीं है, एक सर्वर पर उन्हें दुर्भावनापूर्ण नहीं माना गया ... लेकिन यह निकला। b / c SSL बग ने एक उपयोगकर्ता के पासवर्ड को बाहर निकालने की अनुमति दी, एक उपयोगकर्ता, जिसके पास 'sudo' था ... यह शायद एक मुद्दा नहीं है .... लेकिन ...

लोग कभी-कभी पागल सामान करते हैं

http://blog.visionsource.org/2010/08/28/mining-passwords-from-public-github-repositories/


मुझे लगता है कि चोरी की गई TLS कुंजियों का उपयोग करके मध्य हमले में एक आदमी का जिक्र है। एक हमलावर को अन्य कार्यक्रमों से मेमोरी तक पहुंचने में सक्षम नहीं होना चाहिए अन्यथा ऑपरेटिंग सिस्टम में एक सुरक्षा समस्या को उजागर करता है।
मैथ्यू मिशेल

यदि कोई उपयोगकर्ता अपनी अनएन्क्रिप्टेड निजी SSH कुंजी सर्वर पर डाल रहा है, तो वह हमारी मदद से परे है। उसे piv.pivpiv.dk पर एक लिंक भेजें ।
स्पाइफ
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.