[server] Heartbleed에 대한 응답으로 OpenSSH의 키를 교체해야합니까?

패치로 서버를 이미 업데이트했습니다.

OpenSSH와 관련하여 개인 키를 재생성해야합니까? SSL 인증서를 다시 생성해야한다는 것을 알고 있습니다.

편집 : 나는 이것을 충분히 정확하게 말하지 않았습니다. 취약점이 openssl에 있다는 것을 알고 있지만 이것이 openssh에 미치는 영향과 openssh 호스트 키를 다시 생성해야하는지 묻고있었습니다.



답변

이 취약점에 영향을주지 않습니다 openssh이 영향을 미칩니다 openssl.
다음은 많은 서비스에서 사용하는 라이브러리 openssh입니다.

opensshOpenSSH는 취약한 TLS 프로토콜이 아닌 SSH 프로토콜을 사용하기 때문에이 시점 에서이 취약점의 영향을받지 않는 것이 분명해 보입니다 . ssh 개인 키가 메모리에 있고 취약한 프로세스가 읽을 수는 없지만 불가능하지는 않습니다.

물론 여전히 openssl버전을 업데이트해야합니다 .
업데이트 한 경우 openssl이를 사용하는 모든 서비스를 다시 시작해야합니다.
VPN 서버, 웹 서버, 메일 서버,로드 밸런서 등과 같은 소프트웨어가 포함됩니다.


답변

따라서 SSH에는 영향을 미치지 않는 것 같습니다.

일반적으로 어느 시점에서 SSL 키를 생성 한 서버를 실행하면 영향을받습니다. 일반적인 최종 사용자는 (직접적으로) 영향을받지 않습니다. SSH는 영향을받지 않습니다. 우분투 패키지 배포는 영향을받지 않습니다 (GPG 서명에 의존).

출처 : ubuntu : OpenSSL에서 CVE-2014-0160을 패치하는 방법은 무엇입니까?


답변

다른 사람들이 여기에서 말한 것과는 달리 Schneier는 그렇습니다.

기본적으로 공격자는 서버에서 64K의 메모리를 확보 할 수 있습니다. 이 공격은 흔적을 남기지 않으며 다른 임의의 64K 메모리를 확보하기 위해 여러 번 수행 할 수 있습니다. 즉, 메모리의 모든 항목 (SSL 개인 키, 사용자 키 등)은 취약합니다. 그리고 당신은 그것이 모두 타협되었다고 가정해야합니다. 그것의 모든.

ssh (모든 유형)가 직접 영향을받는 것은 아니지만 ssh 키가 메모리에 저장되어 메모리에 액세스 할 수 있습니다. 이것은 비밀로 간주되는 메모리에 저장된 다른 모든 것입니다.


답변

OpenSSH는 하트 비트 확장을 사용하지 않으므로 OpenSSH는 영향을받지 않습니다. 하트 비트를 사용하는 OpenSSL 프로세스가 메모리에 키를 가지고 있지 않은 한 키는 안전해야하지만 일반적으로는 거의 없습니다.

그래서 당신이 약간 편집증이 필요하다면 그것들을 대체하십시오. 그렇지 않으면 상대적으로 잘 수 없습니다.


답변