Microsoft, GitHub, GitLab & BitBucket reset στα SSH keys

Οι , GitHub, GitLab και BitBucket – τέσσερις από τις μεγαλύτερες εταιρείες φιλοξενίας κώδικα – ξεκίνησαν μαζικές ανακλήσεις κλειδιών τη Δευτέρα μετά την ανακάλυψη μιας ευπάθειας σε ένα δημοφιλές Git client που ονομάζεται GitKraken.

Οι μαζικές ανακλήσεις έγιναν μετά από ένα αίτημα της ς Axosoft με έδρα την Αριζόνα, η οποία ανέπτυξε το GitKraken και είναι αυτή που ανακάλυψε το κενό στο της.
keys

Σε μια ανάρτηση στο blog της τη Δευτέρα, η Axosoft ανέφερε ότι οι εκδόσεις 7.6.x, 7.7.x και 8.0.0 της εφαρμογής GitKraken χρησιμοποιούσαν μια βιβλιοθήκη με το όνομα “keypair” για να δημιουργήσουν κλειδιά SSH που επιτρέπουν στους προγραμματιστές να συνδέσουν την εφαρμογή GitKraken με τους λογαριασμούς στις υπηρεσίες Azure DevOps, GitHub, GitLab, BitBucket ή οποιουσδήποτε άλλους φιλοξενίας πηγαίου κώδικα Git.

Η Axosoft ανέφερε ότι παλαιότερες εκδόσεις αυτής της βιβλιοθήκης παρήγαγαν κλειδιά RSA με χαμηλή εντροπία, κάτι που σημαίνει ότι οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν τη βιβλιοθήκη, υπό ορισμένες συνθήκες, για τη δημιουργία διπλών κλειδιών SSH.

  Εγκατάσταση και ρύθμιση OpenSSH στο Kali Linux

Ένας εισβολέας θα μπορούσε στη συνέχεια να χρησιμοποιήσει αυτά τα κλειδιά για πρόσβαση στον λογαριασμό ενός χρήστη για να κλέψει ιδιόκτητο πηγαίο κώδικα.

Η Axosoft ανέφερε ότι μόλις εντόπισε το πρόβλημα, αντικατέστησε τη βιβλιοθήκη keypair μέσα στην εφαρμογή GitKraken, κυκλοφόρησε την έκδοση 8.0.1 και ειδοποίησε τις τέσσερις μεγάλες εταιρείες.

Λίγο μετά την δημοσίευση της Axosoft, οι ομάδες ασφάλειας των Azure, GitHub, GitLab και BitBucket άρχισαν να ανακαλούν όλα τα κλειδιά SSH στους λογαριασμούς που χρησιμοποιούσαν την εφαρμογή GitKraken για τον συγχρονισμό του πηγαίου κώδικα.

Οι τέσσερις εταιρείες ζητούν τώρα από τους χρήστες τους να δημιουργήσουν νέα κλειδιά SSH χρησιμοποιώντας κάποιο διαφορετικό Git client ή χρησιμοποιώντας μια την ενημερωμένη εφαρμογή GitKraken.

Τόσο η Axosoft όσο και οι τέσσερις εταιρείες δήλωσαν ότι δεν έχουν ανακαλύψει στοιχεία για ότι υπήρξαν επιτιθέμενοι που χρησιμοποίησαν αυτό το κενό ασφαλείας. Μέχρι στιγμής.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

SSH keys,SSH,iguru

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


5  +  5  =