我已经用补丁更新了我的服务器。
我需要重新生成与OpenSSH有关的任何私钥吗? 我知道我必须重新生成任何SSL证书。
编辑:我没有足够准确的话。 我知道这个漏洞在openssl中,但是我在问这是如何影响openssh的,以及是否需要重新生成openssh主机密钥。
这个漏洞不影响openssh它会影响openssl 。
这是一个许多服务使用的库 – 包括openssh 。
在这个时候, openssh似乎没有受到这个漏洞的影响,因为OpenSSH使用的是SSH协议,而不是脆弱的TLS协议。 你的ssh私钥不太可能在内存中,而且易于被易受攻击的进程读取 – 这不是不可能的,但是不太可能。
当然,你仍然必须更新你的openssl版本。
请注意,如果您更新了openssl ,则还需要重新启动正在使用它的所有服务。
包括VPN服务器,networking服务器,邮件服务器,负载平衡器等软件。
所以看起来SSH不受影响:
通常情况下,如果您运行某个服务器的某个位置生成SSL密钥,则会受到影响。 典型的最终用户不会(直接)受到影响。 SSH不受影响。 Ubuntu软件包的分发不受影响(它依赖于GPG签名)。
资料来源: 问问ubuntu:如何在OpenSSL中修补CVE-2014-0160?
与其他人在这里所说的不同, Schneier说是的。
基本上,攻击者可以从服务器获取64K的内存。 这次攻击没有留下痕迹,可以多次执行,以获得不同的随机64K内存。 这意味着内存中的任何内容(SSL私钥,用户密钥,任何东西)都是脆弱的。 而且你必须假设它已经全部妥协了。 所有的。
这不是ssh(任何types)直接受到影响,但ssh密钥可能存储在内存中,可以访问内存。 这只是关于被认为是秘密的内存中存储的任何东西。
OpenSSH不使用心跳扩展,所以OpenSSH不受影响。 只要没有使用心跳的OpenSSL进程在内存中存储它们,你的密钥就应该是安全的,但这通常是不太可能的。
所以如果你是/需要有点偏执取代他们,如果没有,你可以睡得相当好,而不是这样做。