最近のHeartbleedのバグは、Github、Heroku、および他の同様のサイトでコードをプッシュ/プルするために生成および使用したsshキーに影響しますか?
使用していたキーを交換する必要がありますか?
最近のHeartbleedのバグは、Github、Heroku、および他の同様のサイトでコードをプッシュ/プルするために生成および使用したsshキーに影響しますか?
使用していたキーを交換する必要がありますか?
回答:
いいえ、Heartbleedは実際にはSSHキーに影響を与えないため、使用しているSSHキーを交換する必要はないでしょう。
まず、SSLとSSHは2つの異なる用途のための2つの異なるセキュリティプロトコルです。同様に、OpenSSLとOpenSSHも、名前が類似しているにもかかわらず、まったく異なる2つのソフトウェアパッケージです。
第二に、Heartbleedエクスプロイトにより、脆弱なOpenSSL TLS / DTLSピアはランダムな64kBのメモリを返しますが、OpenSSLを使用するプロセスからアクセス可能なメモリにほぼ確実に制限されます。OpenSSLを使用するプロセスがSSHプライベートキーにアクセスできない場合、Heartbleedを介してリークすることはできません。
また、通常、SSH を使用して接続するサーバーにのみSSH 公開キーを配置します。名前が示すように、公開キーは公開可能なキーです。誰が知っているかは関係ありません。実際、正しい公開鍵を知ってほしいのです。
この脆弱性は、脆弱なバージョンのOpenSSLをクライアント側のTLS / DTLSライブラリとして使用するクライアントアプリに影響を与える可能性があることを指摘してくれた@Bobに感謝します。たとえば、WebブラウザまたはSSLベースのVPNクライアントがOpenSSLの脆弱なバージョンを使用し、悪意のあるサーバーに接続した場合、その悪意のあるサーバーはHeartbleedを使用してそのクライアントソフトウェアのメモリのランダムな断片を見ることができます。何らかの理由でそのクライアントアプリのメモリにSSH秘密キーのコピーがある場合、Heartbleedを介してリークする可能性があります。
私の頭上では、メモリ内に暗号化されていないSSH秘密鍵のコピーを保持できるSSH以外のソフトウェアは考えていません。まあ、それはあなたがディスク上のSSH秘密鍵を暗号化しておくことを前提としています。SSH秘密鍵をディスク上で暗号化していない場合、OpenSSL TLSを使用したファイル転送またはバックアッププログラムを使用して、ネットワーク経由でホームディレクトリをコピーまたはバックアップすることができたと思われます(あなた~/.ssh/id_rsa
または他のSSH秘密鍵を含む))、その後、メモリにSSH秘密鍵の暗号化されていないコピーを保持できます。繰り返しになりますが、暗号化されていないSSH秘密キーを悪意のあるサーバーにバックアップしていた場合、Heartbleedよりも大きな心配があります。:-)
「第二に、Heartbleedエクスプロイトにより、脆弱なOpenSSL TLS / DTLSピアがランダムな64kBのメモリを返しますが、OpenSSLを使用するプロセスからアクセス可能なメモリにほぼ確実に制限されます。」
マシンが危険にさらされた場合、sshを含む、マシン上のどのようなものを信頼できますか?heartbleed.comから
「実際にはどのようなリークがありますか?
攻撃者の観点から、独自のサービスのいくつかをテストしました。痕跡を残さずに、外部から攻撃しました。特権情報や資格情報を使用することなく、X.509証明書、ユーザー名とパスワード、インスタントメッセージ、電子メール、ビジネスクリティカルなドキュメントと通信に使用される秘密キーを盗むことができました。」
誰かが、彼らが悪意のないものと想定したサーバーに、パスフレーズなしで秘密鍵を置いたかもしれません...しかし、判明しました。b / c SSLバグにより、ユーザーのパスワード、「sudo」を持っているユーザーが許可されました...おそらく問題ではないでしょうが...
人々は時々クレイジーなことをします
http://blog.visionsource.org/2010/08/28/mining-passwords-from-public-github-repositories/