Платформа для размещения кода GitHub отозвала слабые ключи аутентификации SSH, которые были сгенерированы с помощью клиента GitKraken git GUI из-за уязвимости в сторонней библиотеке, которая увеличивала вероятность дублирования ключей SSH.
В качестве дополнительной меры предосторожности компания также заявила, что создает средства защиты для предотвращения добавления новых слабых ключей в уязвимые версии GitKraken.
Проблемная зависимость под названием «keypair» представляет собой библиотеку генерации ключей SSH с открытым исходным кодом, которая позволяет пользователям создавать ключи RSA для целей аутентификации. Было установлено, что она влияет на GitKraken версий 7.6.x, 7.7.x и 8.0.0, выпущенных в период с 12 мая 2021 года по 27 сентября 2021 года.
Но из-за ошибки в генераторе псевдослучайных чисел, используемом библиотекой, дефект привел к созданию более слабой формы публичных SSH-ключей, которые из-за своей низкой энтропии - т.е. меры случайности - могут повысить вероятность дублирования ключей.
"Это может позволить злоумышленнику расшифровать конфиденциальные сообщения или получить несанкционированный доступ к учетной записи, принадлежащей жертве» - заявил сотрудник поддержки Джулиан Грубер в консультативном письме, опубликованном в понедельник. Проблема была устранена в версии keypair 1.0.4 и GitKraken версии 8.0.1.
Инженер компании Axosoft Дэн Суцеава был награжден за обнаружение уязвимости в системе безопасности, а инженер по безопасности GitHub Кевин Джонс - за определение причины и местонахождения исходного кода ошибки. На данный момент нет никаких доказательств того, что этот недостаток был использован для компрометации учетных записей.
Пострадавшим пользователям настоятельно рекомендуется пересмотреть и «удалить все старые SSH-ключи, сгенерированные GitKraken, хранящиеся локально» и «сгенерировать новые SSH-ключи с помощью GitKraken 8.0.1 или более поздней версии для каждого из ваших поставщиков услуг Git», таких как GitHub, GitLab, Bitbucket и другие.
Источник: https://thehackernews.com
