Reklam
Security

GitHub, kitaplık hatasıyla bağlantılı yinelenen SSH kimlik doğrulama anahtarlarını iptal ediyor

GitHub

GitHub, hatalı şekilde yinelenen RSA anahtar çiftleri oluşturan bir kitaplık kullanılarak oluşturulan zayıf SSH kimlik doğrulama anahtarlarını iptal etti.

GitHub, SSH protokolünü kullanarak bir kullanıcı adı ve parola olmadan hizmetlerinde kimlik doğrulaması yapmanızı sağlar. Bunu yapmak için, kullanıcılar bir SSH anahtar çifti oluşturacak ve ortak anahtarı hesaplarına ekleyecektir. SSH anahtarı ayarı.

GitHub'a SSH anahtarı ekleme
GitHub’a SSH anahtarı ekleme

Anahtar hesabınıza eklendikten sonra, bir kullanıcı adı ve parola girmeden GitHub’da otomatik olarak oturum açmak için bir Git istemcisiyle birlikte kullanabilirsiniz.

GitHub, zayıf SSH anahtarlarını iptal ediyor

Bugün, popüler GitKraken Git istemcisinin yapımcıları olan GitHub ve Axosoft, LLC. arasındaki koordineli bir açıklamada GitHub, ‘ tarafından oluşturulan zayıf SSH anahtarlarını iptal ettiklerini söyledi.anahtar çifti‘ yazılım tarafından kullanılan kütüphane.

“Bağımlılıkla ilgili temel bir sorun, keypair, GitKraken istemcisinin zayıf SSH anahtarları oluşturmasıyla sonuçlandı. Bu sorun GitKraken istemcisinin 7.6.x, 7.7.x ve 8.0.0 sürümlerini etkiledi ve GitKraken’in açıklamasını şurada okuyabilirsiniz: onların blogu,” bugün GitHub’ı yeni bir güvenlik danışmanlığı.

Keypair, SSH anahtarlarının programlı olarak oluşturulmasına izin veren bir JavaScript kitaplığıdır.

Kütüphanenin sözde rasgele sayı üretecindeki bir hata, yinelenen RSA anahtarlarının oluşturulmasına izin vererek, kullanıcıların aynı SSH anahtarıyla korunan diğer GitHub hesaplarına erişmesini sağladı.

tarafından kullanılan sözde rasgele sayı üretecinde bir hata anahtar çifti 1.0.3’e kadar ve dahil olmak üzere sürümler, zayıf RSA anahtarı üretimine izin verebilir. Bu, bir saldırganın gizli mesajların şifresini çözmesini veya kurbana ait bir hesaba yetkili erişim elde etmesini sağlayabilir. Anahtar çifti sürüm 1.0.3 veya önceki sürümler kullanılarak oluşturulmuş tüm RSA anahtarlarını değiştirmenizi öneririz.” Anahtar çifti danışmanlığı.

Hata, “bunu fark eden Axosoft mühendisi Dan Suceava tarafından keşfedildi. anahtar çifti düzenli olarak yinelenen RSA anahtarları oluşturuyordu.”

GitHub, kullanıcılarını korumak için GitKraken tarafından 17:00 UTC veya 13:00 EST’de oluşturulan tüm anahtarları iptal etti.

GitHub, aynı anahtar çifti kitaplığını kullanan diğer istemciler tarafından oluşturulan diğer potansiyel olarak zayıf anahtarları da iptal etti.

Anahtarları iptal edilen kullanıcılara GitHub tarafından bilgi verilir ve SSH anahtarlarını gözden geçirmeleri ve güvenlik açığı bulunan kitaplık tarafından oluşturulduysa değiştirmeleri önerilir.

Axosoft, yazılımlarının kullanıcılarının her Git servis sağlayıcısı için GitKraken 8.0.1 veya sonraki bir sürümünü kullanarak yeni SSH anahtarları oluşturmasını önerir.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün