Microsoft, GitHub, GitLab & BitBucket reset στα SSH keys


Οι Microsoft, GitHub, GitLab και BitBucket – τέσσερις από τις μεγαλύτερες εταιρείες φιλοξενίας κώδικα – ξεκίνησαν μαζικές ανακλήσεις κλειδιών SSH τη Δευτέρα μετά την ανακάλυψη μιας ευπάθειας σε ένα δημοφιλές Git client που ονομάζεται GitKraken.

Οι μαζικές ανακλήσεις έγιναν μετά από ένα αίτημα της εταιρείας Axosoft με έδρα την Αριζόνα, η οποία ανέπτυξε το GitKraken και είναι αυτή που ανακάλυψε το κενό ασφαλείας στο λογισμικό της.
keys

Σε μια ανάρτηση στο blog της τη Δευτέρα, η Axosoft ανέφερε ότι οι εκδόσεις 7.6.x, 7.7.x και 8.0.0 της εφαρμογής GitKraken χρησιμοποιούσαν μια βιβλιοθήκη με το όνομα “keypair” για να δημιουργήσουν κλειδιά SSH που επιτρέπουν στους προγραμματιστές να συνδέσουν την εφαρμογή GitKraken με τους λογαριασμούς στις υπηρεσίες Azure DevOps, GitHub, GitLab, BitBucket ή οποιουσδήποτε άλλους servers φιλοξενίας πηγαίου κώδικα Git.

Η Axosoft ανέφερε ότι παλαιότερες εκδόσεις αυτής της βιβλιοθήκης παρήγαγαν κλειδιά RSA με χαμηλή εντροπία, κάτι που σημαίνει ότι οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν τη βιβλιοθήκη, υπό ορισμένες συνθήκες, για τη δημιουργία διπλών κλειδιών SSH.

Ένας εισβολέας θα μπορούσε στη συνέχεια να χρησιμοποιήσει αυτά τα κλειδιά για πρόσβαση στον λογαριασμό ενός χρήστη για να κλέψει ιδιόκτητο πηγαίο κώδικα.

Η Axosoft ανέφερε ότι μόλις εντόπισε το πρόβλημα, αντικατέστησε τη βιβλιοθήκη keypair μέσα στην εφαρμογή GitKraken, κυκλοφόρησε την έκδοση 8.0.1 και ειδοποίησε τις τέσσερις μεγάλες εταιρείες.

Λίγο μετά την δημοσίευση της Axosoft, οι ομάδες ασφάλειας των Azure, GitHub, GitLab και BitBucket άρχισαν να ανακαλούν όλα τα κλειδιά SSH στους λογαριασμούς που χρησιμοποιούσαν την εφαρμογή GitKraken για τον συγχρονισμό του πηγαίου κώδικα.

Οι τέσσερις εταιρείες ζητούν τώρα από τους χρήστες τους να δημιουργήσουν νέα κλειδιά SSH χρησιμοποιώντας κάποιο διαφορετικό Git client ή χρησιμοποιώντας μια την ενημερωμένη εφαρμογή GitKraken.

Τόσο η Axosoft όσο και οι τέσσερις εταιρείες δήλωσαν ότι δεν έχουν ανακαλύψει στοιχεία για ότι υπήρξαν επιτιθέμενοι που χρησιμοποίησαν αυτό το κενό ασφαλείας. Μέχρι στιγμής.


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news