Я только что обновил сервер Debian Wheezy в первый раз сегодня после серьезной ошибки. OpenSSL не установлен на этом сервере, поэтому я думал, что сервер не пострадал, и поэтому он был помещен в список с низким приоритетом.
В процессе обновления сервера я понимаю, что на сервере установлена библиотека libssl с ошибкой heartbleed, и OpenSSH зависит от этой уязвимой библиотеки. Сервер OpenSSH даже перезапустился автоматически. Сервер OpenSSH, настроенный для приема паролей, является единственной службой, выходящей в Интернет на этом компьютере.
Есть ли шанс, что этот сервер был скомпрометирован, как причина ошибки Heartbleed?
Прежде чем задать этот вопрос, я, конечно, искал ответ, но почти все вопросы, касающиеся OpenSSH и heartbleed, относятся к 8 апреля, и ответы на вопрос, затронут ли OpenSSH, примерно такие: «это может быть затронуто», «вероятно, это не влияет »,« Я не думаю, что OpenSSH повлиял »,« затронут все, что связано с libssl »и т. д., поэтому нет четкого ответа.
Вкратце: SSH не использует TLS и, как таковой, не подвержен уязвимости Heartbleed.
Сервер OpenSSH, настроенный для приема паролей, является единственной службой, выходящей в Интернет на этом компьютере.
Не делай этого.
Есть ли шанс, что этот сервер был скомпрометирован, как причина ошибки Heartbleed?
Волшебный шар восьмерки говорит: Мои источники говорят нет.