Microsoft отзывает небезопасные ключи SSH для клиентов Azure DevOps

12
Microsoft 365 получит улучшенные инструменты управления внутренними рисками

Microsoft отозвала небезопасные ключи SSH, созданные некоторыми Azure DevOps с использованием версии клиента GitKraken git GUI, на которую повлияла основная проблема, обнаруженная в одной из его зависимостей.

Azure DevOps — это облачная служба Microsoft, специально разработанная для совместной разработки кода с интегрированным набором функций, доступных через клиент интегрированной среды разработки (IDE) или веб-браузер.

Решение об отзыве ключей было принято после того, как разработчик GitKraken, Axosoft, 28 сентября уведомил Microsoft о том, что ошибка в генераторе псевдослучайных чисел библиотеки ключей привела к генерации дублирующих ключей RSA.

Если бы Microsoft не отозвала их, дублирующиеся ключи SSH позволили бы клиентам Azure DevOps получать доступ к учетным записям других пользователей.

«В ответ на это раскрытие мы провели расследование уязвимости, о которой сообщалось, и определили небольшую группу пользователей в нашем сервисе с потенциально небезопасными ключами SSH, созданными с помощью уязвимых версий GitKraken», — пояснила Microsoft.

«Мы отозвали все затронутые SSH-ключи, сгенерированные через уязвимые версии GitKraken 10/11/2021. Мы также напрямую проинформируем тех лиц, чьи SSH-ключи были отозваны, в течение следующих 24 часов».

Microsoft рекомендует перейти на новые ключи SSH

Хотя клиенты Azure DevOps, которые еще не были проинформированы о том, что их ключи SSH были отозваны, скорее всего, не затронуты этой уязвимостью, Microsoft по-прежнему рекомендует им добавлять новые открытые ключи SSH в Azure DevOps Services / TFS.

Подробная информация об удалении ваших открытых ключей SSH и добавлении новых доступна на веб-сайте поддержки Microsoft .

Вчера GitHub также объявил, что он отозвал слабые ключи аутентификации SSH, сгенерированные версиями GitKraken с использованием неисправной библиотеки, что привело к неправильному созданию дублирующих пар ключей.

Недостаток библиотеки был обнаружен инженером Axosoft Дэном Сучава, «который заметил, что пара ключей регулярно генерирует дублирующиеся ключи RSA», а старший инженер по безопасности GitHub Кевин Джонс выявил причину.

Чтобы защитить своих пользователей, GitHub отозвал все ключи, сгенерированные GitKraken, и другие потенциально слабые ключи, созданные другими клиентами git, используя ту же версию библиотеки пары ключей с ошибками.

Bitbucket и GitLab также отозвали слабые открытые ключи, созданные их клиентами с помощью более старых версий GitKraken, во вторник.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here