近期连续爆Heartbleed、CCS漏洞,吓死人
平常管理服务器经常用到SSH、SFTP和SSH Tunnel,所以很希望了解这个事情
至少对于最开始的 Heartbleed,OpenSSH 是不受影响的,因为它没有用到 TLS Heartbeat 的部分。
但之后的那些漏洞,就不容乐观了。
必须明确的一点是:近期连续的漏洞全是OpenSSL的实现问题,而不是与SSL/TLS有关加密算法与协议栈本身的缺陷。
在Linux和BSD下,SSH客户端与服务器基本上由OpenSSH这个包提供。
一个最粗浅的理解是:是否有影响,先看依赖性。看一下这里就知道了:
OpenSSH Dependencies - Required
OpenSSL-1.0.1h
所以OpenSSH实现的SSH客户端与服务器,与OpenSSL的安全性是绝对相关的。这个依据对于系统管理员和普通用户,成为应当注意升级的理由已经足够了。
当然,是否会产生安全性问题,还要分析OpenSSH对OpenSSL依赖库的调用过程中,是否涉及了OpenSSL有安全漏洞的部分,能否给攻击者留下入口。
我还调查了一下另一个SSH客户端PuTTY的实现是完全独立的,安全性与OpenSSL无关。参见此页的A.10.1。
更多的SSH客户端没有去看。