Я уже обновил свои серверы патчами.
Нужно ли мне регенерировать какие-либо закрытые ключи в отношении OpenSSH? Я знаю, что мне нужно восстановить все сертификаты SSL.
РЕДАКТИРОВАТЬ: Я не сказал это достаточно точно. Я знаю, что уязвимость находится в openssl, но я спрашивал, как это повлияет на openssh и нужно ли мне повторно генерировать ключи хоста openssh.
Уязвимость не влияет openssh это влияет openssl.
Это библиотека, используемая многими службами, включая openssh.
На данный момент кажется очевидным, что openssh не подвержен этой уязвимости, поскольку OpenSSH использует протокол SSH, а не уязвимый протокол TLS. Маловероятно, что ваш закрытый ключ ssh находится в памяти и может быть прочитан уязвимым процессом - возможно, но маловероятно.
Конечно, вы все равно должны обновить свой openssl версия.
Обратите внимание: если вы обновили openssl вам также необходимо перезапустить все службы, которые его используют.
Это включает в себя программное обеспечение, такое как VPN-сервер, веб-сервер, почтовый сервер, балансировщик нагрузки, ...
Таким образом, похоже, что SSH не затронут:
Как правило, на вас влияет запуск какого-либо сервера, на котором в какой-то момент вы сгенерировали ключ SSL. Типичных конечных пользователей (напрямую) не затрагивает. SSH не затрагивается. Это не влияет на распространение пакетов Ubuntu (оно зависит от подписей GPG).
Источник: спросите ubuntu: как исправить CVE-2014-0160 в OpenSSL?
В отличие от того, что здесь сказали другие Шнайер говорит, что да.
Как правило, злоумышленник может захватить с сервера 64 КБ памяти. Атака не оставляет следов и может выполняться несколько раз, чтобы захватить разные случайные 64 КБ памяти. Это означает, что все в памяти - закрытые ключи SSL, пользовательские ключи, что угодно - уязвимо. И вы должны предположить, что все это скомпрометировано. Все это.
Дело не в том, что ssh (любой тип) был напрямую затронут, но ключи ssh могут храниться в памяти, и к ней можно получить доступ. Это касается практически всего, что хранится в памяти и считается секретным.
OpenSSH не использует расширение Heartbeat, поэтому OpenSSH не затрагивается. Ваши ключи должны быть в безопасности до тех пор, пока ни один процесс OpenSSL, использующий сердцебиение, не хранит их в своей памяти, но это обычно очень маловероятно.
Так что, если вы / должны быть немного параноиком, замените их, в противном случае вы можете спать относительно хорошо, не делая этого.