Dois-je remplacer des clés pour OpenSSH en réponse à Heartbleed?

9

J'ai déjà mis à jour mes serveurs avec les correctifs.

Dois-je régénérer des clés privées par rapport à OpenSSH? Je sais que je dois régénérer tous les certificats SSL.

EDIT: Je n'ai pas formulé cela avec suffisamment de précision. Je sais que la vulnérabilité est dans openssl, mais je demandais comment cela impactait sur openssh, et si j'avais besoin de recréer les clés d'hôte openssh.

ssh heartbleed Olly
la source
1
En fait, c'est probablement un doublon de serverfault.com/questions/587329/…
faker
Vos premier et troisième paragraphes semblent contradictoires.
un CVn du
@faker Pas vraiment - cette question ne traite en rien de SSH ...
voretaq7
Question connexe: serverfault.com/questions/587433/…
voretaq7

Réponses:

5

La vulnérabilité ne l' opensshaffecte pas openssl.
C'est une bibliothèque utilisée par de nombreux services - y compris openssh.

À l'heure actuelle, il semble clair que opensshcette vulnérabilité n'est pas affectée, car OpenSSH utilise le protocole SSH, pas le protocole TLS vulnérable. Il est peu probable que votre clé privée ssh soit en mémoire et lisible par un processus vulnérable - pas impossible mais peu probable.

Bien sûr, vous devez toujours mettre à jour votre opensslversion.
Notez que si vous avez mis à jour, opensslvous devez également redémarrer tous les services qui l'utilisent.
Cela inclut des logiciels comme un serveur VPN, un serveur Web, un serveur de messagerie, un équilibreur de charge, ...

truqueur
la source
1
Quelque chose à garder à l'esprit: il est possible d'utiliser la même partie de clé privée pour une clé privée SSH et un certificat SSL. Dans ce cas, si la clé de certificat SSL a été utilisée sur un serveur Web vulnérable, vous devez également remplacer la clé privée SSH affectée. (Pour que cela soit exploité, quelqu'un devrait savoir que vous faites cela, ou penser à l'essayer - c'est une configuration TRÈS inhabituelle dans mon expérience, donc je doute que quelqu'un y pense). Tout cela dit qu'il n'y a rien de mal à régénérer vos clés privées SSH si vous le souhaitez - un peu de paranoïa n'est pas une mauvaise chose :-)
voretaq7
2

Il semble donc que SSH ne soit pas affecté:

En général, vous êtes affecté si vous exécutez un serveur sur lequel vous avez généré une clé SSL à un moment donné. Les utilisateurs finaux typiques ne sont pas (directement) affectés. SSH n'est pas affecté. La distribution des packages Ubuntu n'est pas affectée (elle s'appuie sur les signatures GPG).

Source: demandez à ubuntu: Comment patcher CVE-2014-0160 dans OpenSSL?

Olly
la source
1

À la différence de ce que d'autres ont dit ici, Schneier dit oui.

Fondamentalement, un attaquant peut récupérer 64 Ko de mémoire sur un serveur. L'attaque ne laisse aucune trace et peut être effectuée plusieurs fois pour récupérer 64 Ko de mémoire aléatoires différents. Cela signifie que tout ce qui est en mémoire - clés privées SSL, clés utilisateur, quoi que ce soit - est vulnérable. Et vous devez supposer que tout est compromis. Tout.

Ce n'est pas que ssh (tout type) a été directement affecté, mais que les clés ssh peuvent être stockées en mémoire et que la mémoire est accessible. Cela vaut pour à peu près tout autre élément stocké en mémoire qui est considéré comme secret.

Jeremy French
la source
Il semble donner un aperçu très général du problème de cette phrase. Il est la première fois que je l' entends que tout toute votre mémoire a été exposé. Jusqu'à présent, je crois comprendre que seule la mémoire à laquelle le processus vulnérable a accès est exposée. Voir aussi: security.stackexchange.com/questions/55076/…
faker
0

OpenSSH n'utilise pas l'extension Heartbeat, donc OpenSSH n'est pas affecté. Vos clés doivent être en sécurité tant qu'aucun processus OpenSSL qui utilise le rythme cardiaque ne les a en mémoire, mais cela est généralement très improbable.

Donc, si vous êtes / avez besoin d'être un peu paranoïaque, remplacez-les, sinon vous pouvez dormir relativement bien sans le faire.

Denis Witt
la source
SSH n'utilise pas OpenSSL. Grande différence là-bas.
Jacob
2
OpenSSH utilise la partie libcrypto d'OpenSSL. C'est pourquoi vous devez redémarrer SSH après la mise à jour d'OpenSSL. C'est pourquoi certaines personnes demandent si elles doivent remplacer leurs clés SSH. Voir ma réponse ci-dessus ... Alors, quel est votre point exactement?
Denis Witt