क्या हाल ही में हार्दिक बग ने ssh कीज़ को प्रभावित किया है जो मैंने उत्पन्न किया है और गिथब, हरोकू और अन्य समान साइटों के साथ कोड को पुश / पुल करने के लिए उपयोग किया है?
क्या मुझे उन कुंजियों को बदलने की आवश्यकता है जो मैं उपयोग कर रहा हूं?
क्या हाल ही में हार्दिक बग ने ssh कीज़ को प्रभावित किया है जो मैंने उत्पन्न किया है और गिथब, हरोकू और अन्य समान साइटों के साथ कोड को पुश / पुल करने के लिए उपयोग किया है?
क्या मुझे उन कुंजियों को बदलने की आवश्यकता है जो मैं उपयोग कर रहा हूं?
जवाबों:
नहीं, नाराज़गी वास्तव में SSH कुंजी को प्रभावित नहीं करती है, इसलिए आपको संभवतः SSH कुंजी को बदलने की आवश्यकता नहीं है जो आप उपयोग कर रहे हैं।
सबसे पहले, एसएसएल और एसएसएच दो अलग-अलग उपयोगों के लिए दो अलग-अलग सुरक्षा प्रोटोकॉल हैं। इसी तरह, ओपनएसएसएल और ओपनएसएसएच भी अपने नाम में समानता के बावजूद दो पूरी तरह से अलग सॉफ्टवेयर पैकेज हैं।
दूसरा, हार्दिक शोषण, असुरक्षित ओपनएसएसएल टीएलएस / डीटीएलएस पीयर का कारण बनता है, जिससे स्मृति का 64kB यादृच्छिक रूप से वापस आ जाता है, लेकिन यह निश्चित रूप से उस ओपनएसएसएल-उपयोग प्रक्रिया के लिए सुलभ मेमोरी तक सीमित है। यदि उस ओपनएसएसएल-उपयोग प्रक्रिया में आपकी एसएसएच निजी कुंजी तक पहुंच नहीं है, तो वह इसे हार्टब्लेड के माध्यम से लीक नहीं कर सकता है।
इसके अलावा, आप आम तौर पर केवल उन सर्वरों पर अपनी SSH सार्वजनिक कुंजी डालते हैं जिन्हें आप SSH से कनेक्ट करने के लिए उपयोग करते हैं, और जैसा कि नाम से ही स्पष्ट है, एक सार्वजनिक कुंजी वह कुंजी है जिसे आप सार्वजनिक कर सकते हैं। इससे कोई फर्क नहीं पड़ता कि कौन इसे जानता है। वास्तव में, आप चाहते हैं कि जनता आपकी सही सार्वजनिक कुंजी जानना चाहती है।
यह इंगित करने के लिए @ याकूब का धन्यवाद कि भेद्यता उन क्लाइंट ऐप्स को प्रभावित कर सकती है जो OpenSSL के असुरक्षित संस्करणों को अपने क्लाइंट-साइड TLS / DTLS लाइब्रेरी के रूप में उपयोग करते हैं। इसलिए, उदाहरण के लिए, आपके वेब ब्राउज़र या आपके एसएसएल-आधारित वीपीएन क्लाइंट ने ओपनएसएसएल के एक कमजोर संस्करण का उपयोग किया है, और एक दुर्भावनापूर्ण सर्वर से जुड़ा है, जो दुर्भावनापूर्ण सर्वर उस क्लाइंट सॉफ़्टवेयर की मेमोरी के यादृच्छिक स्निपेट को देखने के लिए हार्टलेड का उपयोग कर सकता है। यदि किसी कारण से उस क्लाइंट ऐप में मेमोरी में आपकी SSH निजी कुंजियों की एक प्रति है, तो यह हार्टब्लेड के माध्यम से लीक हो सकता है।
मेरे सिर के ऊपर से, मैं SSH के अलावा किसी भी सॉफ्टवेयर के बारे में नहीं सोच रहा हूँ, जिसमें मेमोरी में आपके अनएन्क्रिप्टेड SSH प्राइवेट की कॉपी हो सकती है। ठीक है, कि आप अपने SSH निजी कुंजी को डिस्क पर एन्क्रिप्टेड रखते हैं। यदि आप अपनी SSH निजी कुंजियों को डिस्क पर एन्क्रिप्ट नहीं रखते हैं, तो मुझे लगता है कि आप नेटवर्क पर अपने होम डायरेक्टरी को कॉपी या बैक करने के लिए कुछ OpenSSL TLS- फाइल स्थानांतरण या बैकअप प्रोग्राम का उपयोग कर सकते थे (आपकी ~/.ssh/id_rsa
या अन्य SSH निजी कुंजी सहित) ), तो यह मेमोरी में आपकी SSH निजी कुंजी की अनएन्क्रिप्टेड कॉपी हो सकती है। फिर से, यदि आप दुर्भावनापूर्ण सर्वर को अपनी अनएन्क्रिप्टेड SSH निजी कुंजी का बैकअप दे रहे थे, तो आपको हार्टबल की तुलना में शायद बड़ी चिंताएं हैं। :-)
"दूसरा, हार्दिक शोषण के कारण असुरक्षित ओपनएसएसएल टीएलएस / डीटीएलएस पीयर को स्मृति के यादृच्छिक 64kB को लौटाने का कारण बनता है, लेकिन यह निश्चित रूप से उस ओपनएसएसएल-उपयोग प्रक्रिया के लिए सुलभ मेमोरी तक सीमित है।"
यदि मशीन समझौता कर लेती है तो आप उस पर कुछ भी कैसे भरोसा कर सकते हैं, जिसमें ssh भी शामिल है? heartbleed.com से
“अभ्यास में क्या लीक?
हमने हमलावरों के दृष्टिकोण से अपनी स्वयं की कुछ सेवाओं का परीक्षण किया है। हमने बिना किसी निशान छोड़े, बाहर से खुद पर हमला किया। किसी भी विशेषाधिकार प्राप्त जानकारी या क्रेडेंशियल्स का उपयोग किए बिना हम अपने X.509 प्रमाण पत्र, उपयोगकर्ता नाम और पासवर्ड, त्वरित संदेश, ईमेल और व्यावसायिक महत्वपूर्ण दस्तावेजों और संचार के लिए उपयोग की जाने वाली गुप्त कुंजियों को खुद से चोरी करने में सक्षम थे। "
किसी ने एक निजी कुंजी लगाई हो सकती है, जिसमें कोई पासफ़्रेज़ नहीं है, एक सर्वर पर उन्हें दुर्भावनापूर्ण नहीं माना गया ... लेकिन यह निकला। b / c SSL बग ने एक उपयोगकर्ता के पासवर्ड को बाहर निकालने की अनुमति दी, एक उपयोगकर्ता, जिसके पास 'sudo' था ... यह शायद एक मुद्दा नहीं है .... लेकिन ...
लोग कभी-कभी पागल सामान करते हैं
http://blog.visionsource.org/2010/08/28/mining-passwords-from-public-github-repositories/