Reklam
MicrosoftSecurity

Microsoft, Azure DevOps müşterileri için güvenli olmayan SSH anahtarlarını iptal ediyor

Microsoft, Azure DevOps müşterileri için güvenli olmayan SSH anahtarlarını iptal ediyor

Microsoft, bazı Azure DevOps’un bağımlılıklarından birinde bulunan temel bir sorundan etkilenen GitKraken git GUI istemci sürümü kullanılarak oluşturduğu güvenli olmayan SSH anahtarlarını iptal etti.

Azure DevOps entegre bir geliştirme ortamı (IDE) istemcisi veya web tarayıcısı aracılığıyla erişilebilen bir dizi entegre özellik ile kod geliştirme işbirliği için özel olarak tasarlanmış bir Microsoft bulut hizmetidir.

Anahtarları iptal etme kararı, GitKraken’in geliştiricisi Axosoft’un 28 Eylül’de Microsoft’a anahtar çifti kitaplığın sözde rasgele sayı üreteci, çoğaltılan RSA anahtarlarının üretilmesine neden oldu.

Microsoft bunları iptal etmemiş olsaydı, yinelenen SSH anahtarları Azure DevOps müşterilerinin diğer kullanıcıların hesaplarına erişmesine izin verecekti.

“Bu ifşaya yanıt olarak, bildirilen güvenlik açığıyla ilgili bir güvenlik araştırması yaptık ve hizmetimiz genelinde GitKraken’in etkilenen sürümleri aracılığıyla oluşturulan, potansiyel olarak güvenli olmayan SSH anahtarlarına sahip küçük bir kullanıcı grubu belirledik.” açıkladı.

“10/11/2021 tarihinde GitKraken’in etkilenen sürümleri aracılığıyla oluşturulan etkilenen tüm SSH anahtarlarını iptal ettik. Ayrıca, SSH anahtarları iptal edilen kişileri de önümüzdeki 24 saat içinde doğrudan bilgilendireceğiz.”

Microsoft, yeni SSH anahtarlarına geçmenizi önerir

Henüz SSH anahtarlarının iptal edildiği konusunda bilgilendirilmemiş Azure DevOps müşterileri bu güvenlik açığından etkilenmeyecek olsa da Microsoft yine de onlara Azure DevOps Services/TFS’ye yeni SSH ortak anahtarları eklemelerini tavsiye ediyor.

SSH ortak anahtarlarınızı kaldırma ve yenilerini ekleme hakkında ayrıntılı bilgi şu adreste mevcuttur: Microsoft’un destek web sitesi.

Dün, GitHub da duyurdu yinelenen anahtar çiftlerini yanlış oluşturan hatalı kitaplığı kullanarak GitKraken sürümleriyle oluşturulan zayıf SSH kimlik doğrulama anahtarlarını iptal ettiğini söyledi.

Kütüphane hatası, “anahtar çiftinin düzenli olarak yinelenen RSA anahtarları ürettiğini fark eden” Axosoft mühendisi Dan Suceava tarafından keşfedildi ve GitHub kıdemli güvenlik mühendisi Kevin Jones bunun nedenini belirledi.

GitHub, kullanıcılarını korumak için GitKraken tarafından oluşturulan tüm anahtarları ve aynı buggy anahtar çifti kitaplık sürümünü kullanan diğer git istemcileri tarafından oluşturulan diğer potansiyel olarak zayıf anahtarları iptal etti.

bitbucket ve GitLab ayrıca müşterilerinin Salı günü eski GitKraken sürümleriyle oluşturduğu zayıf genel anahtarları da iptal etti.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün