GitHub отозвал небезопасные ключи SSH, созданные популярным клиентом git


Платформа хостинга кода GitHub отозвала слабые ключи аутентификации SSH, которые были сгенерированы через клиент GitKraken с графическим интерфейсом git, из-за уязвимости в сторонней библиотеке, которая увеличила вероятность дублирования ключей SSH.


В качестве дополнительной меры предосторожности Microsoftкомпания-владелец также заявила, что создает меры безопасности для предотвращения добавления в уязвимые версии GitKraken вновь сгенерированных слабых ключей.

Проблемная зависимость, называемая «парой ключей», представляет собой библиотеку генерации ключей SSH с открытым исходным кодом, которая позволяет пользователям создавать ключи RSA для целей аутентификации. Было обнаружено, что это влияет на версии GitKraken 7.6.x, 7.7.x и 8.0.0, выпущенные в период с 12 мая 2021 года по 27 сентября 2021 года.

Недостаток, отслеживаемый как CVE-2021-41117 (оценка CVSS: 8,7), касается ошибки в генераторе псевдослучайных чисел, используемом библиотекой, что приводит к созданию более слабой формы общедоступных ключей SSH, которые из-за их низкая энтропия – т. е. показатель случайности – может повысить вероятность дублирования ключа.

«Это может позволить злоумышленнику расшифровать конфиденциальные сообщения или получить несанкционированный доступ к учетной записи, принадлежащей жертве», – сказал специалист по сопровождению keypair Джулиан Грубер в опубликованном в понедельник сообщении. С тех пор проблема была устранена в ключевых парах версии 1.0.4 и GitKraken версии 8.0.1.

Инженеру Axosoft Дэну Сучаве приписывают обнаружение слабых мест в системе безопасности, а инженеру по безопасности GitHub Кевину Джонсу – за определение причины и местоположения ошибки в исходном коде. На момент написания статьи нет никаких доказательств того, что уязвимость использовалась в дикой природе для компрометации учетных записей.

Затронутым пользователям настоятельно рекомендуется просмотреть и «удалить все старые SSH-ключи, созданные GitKraken, хранящиеся локально» и «сгенерировать новые SSH-ключи с помощью GitKraken 8.0.1 или более поздней версии для каждого из ваших поставщиков услуг Git», таких как GitHub, и Bitbucket и другие.

Обновление: вместе с GitHub, Azure DevOps, и Atlassian Bitbucket также инициировали массовый отзыв ключей SSH, подключенных к учетным записям, в которых клиент GitKraken использовался для синхронизации исходного кода, призывая пользователей отозвать открытые ключи SSH и сгенерировать новые ключи с помощью обновленной версии приложения.

0 Комментарий
Inline Feedbacks
View all comments