Heartbleed에 대한 응답으로 OpenSSH의 키를 교체해야합니까?


9

패치로 서버를 이미 업데이트했습니다.

OpenSSH와 관련하여 개인 키를 재생성해야합니까? SSL 인증서를 다시 생성해야한다는 것을 알고 있습니다.

편집 : 나는 이것을 충분히 정확하게 말하지 않았습니다. 취약점이 openssl에 있다는 것을 알고 있지만 이것이 openssh에 미치는 영향과 openssh 호스트 키를 다시 생성해야하는지 묻고있었습니다.


1
실제로 이것은 아마 serverfault.com/questions/587329/
faker

첫 번째와 세 번째 단락은 모순되는 것처럼 보입니다.
CVn

@faker 사실은 아닙니다-그 질문은 SSH에 대해 아무 것도 다루지 않습니다 ...
voretaq7

답변:


5

이 취약점에 영향을주지 않습니다 openssh이 영향을 미칩니다 openssl.
다음은 많은 서비스에서 사용하는 라이브러리 openssh입니다.

opensshOpenSSH는 취약한 TLS 프로토콜이 아닌 SSH 프로토콜을 사용하기 때문에이 시점 에서이 취약점의 영향을받지 않는 것이 분명해 보입니다 . ssh 개인 키가 메모리에 있고 취약한 프로세스가 읽을 수는 없지만 불가능하지는 않습니다.

물론 여전히 openssl버전을 업데이트해야합니다 .
업데이트 한 경우 openssl이를 사용하는 모든 서비스를 다시 시작해야합니다.
VPN 서버, 웹 서버, 메일 서버,로드 밸런서 등과 같은 소프트웨어가 포함됩니다.


1
명심해야 할 사항 : SSH 개인 키 SSL 인증서에 동일한 개인 키 부분을 사용할 수 있습니다 . 이 경우 SSL 인증서 키가 취약한 웹 서버에서 사용 된 경우 영향을받는 SSH 개인 키도 교체해야합니다. (이 악용되기 위해서는 사람이해야합니다 알고 당신이하고있는, 또는 그것을 시도 할 생각 - 내 경험에 아주 특이한 구성이다, 나는 누군가가 그것을 생각 의심 때문에). 원하는 경우 SSH 개인 키를 재생성하는 데 아무런 문제가 없다고 말한 것-약간의 편집증은 나쁘지 않습니다 :-)
voretaq7

2

따라서 SSH에는 영향을 미치지 않는 것 같습니다.

일반적으로 어느 시점에서 SSL 키를 생성 한 서버를 실행하면 영향을받습니다. 일반적인 최종 사용자는 (직접적으로) 영향을받지 않습니다. SSH는 영향을받지 않습니다. 우분투 패키지 배포는 영향을받지 않습니다 (GPG 서명에 의존).

출처 : ubuntu : OpenSSL에서 CVE-2014-0160을 패치하는 방법은 무엇입니까?


1

다른 사람들이 여기에서 말한 것과는 달리 Schneier는 그렇습니다.

기본적으로 공격자는 서버에서 64K의 메모리를 확보 할 수 있습니다. 이 공격은 흔적을 남기지 않으며 다른 임의의 64K 메모리를 확보하기 위해 여러 번 수행 할 수 있습니다. 즉, 메모리의 모든 항목 (SSL 개인 키, 사용자 키 등)은 취약합니다. 그리고 당신은 그것이 모두 타협되었다고 가정해야합니다. 그것의 모든.

ssh (모든 유형)가 직접 영향을받는 것은 아니지만 ssh 키가 메모리에 저장되어 메모리에 액세스 할 수 있습니다. 이것은 비밀로 간주되는 메모리에 저장된 다른 모든 것입니다.


그는이 문장의 문제점에 대해 매우 일반적인 개요를 제공하는 것 같습니다. 내가 듣고 처음이다 모든 모든 메모리가 노출되었다. 지금까지 저의 이해는 취약한 프로세스가 액세스 할 수있는 메모리 만 노출된다는 것입니다. 참조 : security.stackexchange.com/questions/55076/…
faker

0

OpenSSH는 하트 비트 확장을 사용하지 않으므로 OpenSSH는 영향을받지 않습니다. 하트 비트를 사용하는 OpenSSL 프로세스가 메모리에 키를 가지고 있지 않은 한 키는 안전해야하지만 일반적으로는 거의 없습니다.

그래서 당신이 약간 편집증이 필요하다면 그것들을 대체하십시오. 그렇지 않으면 상대적으로 잘 수 없습니다.


SSH는 OpenSSL을 사용하지 않습니다. 큰 차이가 있습니다.
Jacob

2
OpenSSH는 OpenSSL의 libcrypto 부분을 사용합니다. 따라서 OpenSSL을 업데이트 한 후 SSH를 다시 ​​시작해야합니다. 그렇기 때문에 일부 사람들은 SSH 키를 교체해야하는지 묻습니다. 위의 내 답변을 참조하십시오 ... 그래서 요점이 정확히 무엇입니까?
Denis Witt
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.