我刚刚更新了一个Debian Wheezy服务器,今天第一次,在这个令人心碎的错误之后。 OpenSSL没有安装在这个服务器上,所以我认为服务器没有受到影响,因此它被放在低优先级列表中。
在更新服务器的过程中,我意识到在服务器上安装了带有心跳错误的库“libssl”,OpenSSH依赖于这个易受攻击的库。 OpenSSH服务器甚至自动重新启动。 configuration为接受密码的OpenSSH服务器是这台机器上唯一面向互联网的服务。
这个服务器有没有可能被攻破?
在问这个问题之前,我当然一直在寻找答案,但是几乎所有关于OpenSSH和heartbleed的问题都是从4月8日开始的,如果OpenSSH受到影响,答案可能是这样的:“可能会受到影响”,“很可能不受影响“,”我不认为OpenSSH受影响“,”任何与libssl链接的东西都受到影响“等等,所以没有明确的答案。
简而言之:SSH不使用TLS,因此不会受到心脏病发作的威胁。
configuration为接受密码的OpenSSH服务器是这台机器上唯一面向互联网的服务。
不要这样做。
这个服务器有没有可能被攻破?
魔术八球说:我的消息来源说不。