GitHub отменяет повторяющиеся ключи аутентификации SSH, связанные с ошибкой библиотеки

GitHub отменяет повторяющиеся ключи аутентификации SSH, связанные с ошибкой библиотеки

Источник · Перевод автора

GitHub отозвал слабые ключи аутентификации SSH, сгенерированные с помощью библиотеки, которая неправильно создавала повторяющиеся пары ключей RSA.

GitHub позволяет вам аутентифицироваться в их службе без имени пользователя и пароля, используя протокол SSH. Для этого пользователи должны сгенерировать пару ключей SSH и добавить открытый ключ в настройки ключа SSH своих учетных записей.

После того, как ключ был добавлен в вашу учетную запись, вы можете использовать его с клиентом Git для автоматического входа в GitHub без ввода имени пользователя и пароля.

GitHub отменяет слабые ключи SSH

Сегодня в скоординированном раскрытии информации между GitHub и Axosoft, LLC, создатели популярного клиента GitKraken Git, GitHub заявили, что они отозвали слабые ключи SSH, сгенерированные библиотекой «keypair», используемой программным обеспечением.

«Основная проблема с зависимостью, называемая парой ключей, привела к тому, что клиент GitKraken генерировал слабые ключи SSH. Эта проблема затронула версии 7.6.x, 7.7.x и 8.0.0 клиента GitKraken, и вы можете прочитать раскрытие GitKraken на их блоге», – сообщил GitHub в бюллетене по безопасности.

Keypair – это библиотека JavaScript, которая позволяет программно генерировать ключи SSH.

Ошибка в генераторе псевдослучайных чисел библиотеки позволяла генерировать дублирующиеся ключи RSA, позволяя пользователям получать доступ к другим учетным записям GitHub, защищенным тем же ключом SSH.

«Ошибка в генераторе псевдослучайных чисел, используемом версиями пар ключей до 1.0.3 включительно, могла позволить генерировать слабый ключ RSA. Это могло позволить злоумышленнику расшифровать конфиденциальные сообщения или получить авторизованный доступ к учетной записи, принадлежащей жертве. Мы рекомендуем заменять любые ключи RSA, которые были сгенерированы с использованием пары ключей версии 1.0.3 или более ранней», – поясняется в сообщении Keypair.

Ошибка была обнаружена инженером Axosoft Дэном Сучава (Dan Suceava), «который заметил, что пара ключей регулярно генерирует дублирующиеся ключи RSA».

Чтобы защитить своих пользователей, GitHub отозвал все ключи, сгенерированные GitKraken в 17:00 UTC или 13:00 EST.

GitHub также отозвал другие потенциально слабые ключи, которые были созданы другими клиентами с использованием той же библиотеки пар ключей.

Пользователи, чьи ключи были отозваны, получают уведомление от GitHub и рекомендуют проверить свои SSH-ключи и заменить их, если их сгенерировала уязвимая библиотека.

Axosoft рекомендует пользователям их программного обеспечения генерировать новые ключи SSH с помощью GitKraken 8.0.1 или более поздней версии для каждого поставщика услуг Git.