GitHub аннулирует повторяющиеся ключи аутентификации SSH, связанные с ошибкой библиотеки

19
GitHub аннулирует повторяющиеся ключи аутентификации SSH, связанные с ошибкой библиотеки

GitHub отозвал слабые ключи аутентификации SSH, сгенерированные с использованием библиотеки, которая неправильно создавала повторяющиеся пары ключей RSA.

GitHub позволяет вам аутентифицироваться в их сервисе без имени пользователя и пароля, используя протокол SSH. Для этого пользователи должны сгенерировать пару ключей SSH и добавить открытый ключ в настройки ключа SSH своих учетных записей.

После того, как ключ был добавлен в вашу учетную запись, вы можете использовать его с клиентом Git для автоматического входа в GitHub без ввода имени пользователя и пароля.

GitHub отменяет слабые ключи SSH

Сегодня в скоординированном раскрытии информации между GitHub и Axosoft, LLC, создатели популярного клиента GitKraken Git, GitHub заявили, что они отозвали слабые ключи SSH, сгенерированные библиотекой «keypair», используемой программным обеспечением.

«Основная проблема с вызванной зависимостью  keypair привела к тому, что клиент GitKraken генерировал слабые ключи SSH. Эта проблема затронула версии 7.6.x, 7.7.x и 8.0.0 клиента GitKraken, и вы можете прочитать раскрытие GitKraken в  их блоге, «сообщил GitHub сегодня в новом сообщении по безопасности.

Keypair — это библиотека JavaScript, которая позволяет программно генерировать ключи SSH.

Ошибка в генераторе псевдослучайных чисел библиотеки позволила генерировать повторяющиеся ключи RSA, что позволило пользователям получить доступ к другим учетным записям GitHub, защищенным тем же ключом SSH.

«Ошибка в генераторе псевдослучайных чисел, используемом   версиями пар ключей до 1.0.3 включительно, могла позволить генерировать слабый ключ RSA. Это могло позволить злоумышленнику расшифровать конфиденциальные сообщения или получить авторизованный доступ к учетной записи, принадлежащей жертве. Мы рекомендуем заменять любые ключи RSA, которые были сгенерированы с использованием пары ключей версии 1.0.3 или более ранней », — поясняется в сообщении Keypair.

Ошибка была обнаружена инженером Axosoft Дэном Сучава, «который заметил, что  пара ключей  регулярно генерирует дублирующиеся ключи RSA».

Чтобы защитить своих пользователей, GitHub отозвал все ключи, сгенерированные GitKraken в 17:00 UTC или 13:00 EST.

GitHub также отозвал другие потенциально слабые ключи, которые были созданы другими клиентами с использованием той же библиотеки пар ключей.

Пользователи, чьи ключи были отозваны, получают уведомление от GitHub и рекомендуют проверить свои SSH-ключи и заменить их, если их сгенерировала уязвимая библиотека.

Axosoft рекомендует пользователям их программного обеспечения генерировать новые ключи SSH с помощью GitKraken 8.0.1 или более поздней версии для каждого поставщика услуг Git.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here