GitHub sorunu: Özel SSH anahtarı herkes tarafından görülebiliyordu

Saberie

Active member
GitHub sürüm kontrol platformunun operatörleri, özel anahtarın genel bir depoda göründüğü için RSA SSH ana bilgisayar anahtarını değiştirdi. Olay, yalnızca Git operasyonlarını SSH (Güvenli Kabuk) üzerinden RSA şifreleme yöntemini kullanarak çalıştıranları etkiliyor, ancak aynı zamanda operatörlerin müşterilerinin uyardığı anormallikler işleyebileceğini de gösteriyor.


GitHub’a göre şirket, SSH RSA özel anahtarının genel bir GitHub deposunda kısaca bulunduğunu keşfetti. Bir blog gönderisine göre, bu harici bir saldırı değildi ve hiçbir müşteri verisi ele geçirilmedi. GitHub’ın, herhangi birinin açık anahtarı kötüye kullandığına inanmak için hiçbir nedeni yoktur.


Saldırı değil, sadece utanç verici bir hata


Platform operatörleri, anahtarın serbest bırakılmasının bir kaza olduğundan şüpheleniyor. Ne yazık ki, özel anahtarların, düz metin parolaların veya diğer kimlik bilgilerinin depolarda kalması tekrar tekrar olur. Bu, hem GitHub’ı hem de GitLab’ı güvenlik önlemleri uygulamaya sevk etti. GitHub ilk olarak 2021’in başlarında özel depolar için bu tür kimlik bilgilerini algılayan gizli taramayı kullanıma sundu. Bu özellik artık genel depolar için de kullanılabilir.

Bu yılın başlarında, AI Yardımcı Pilot kod asistanı, şifrelenmiş kimlik bilgilerini tanımak için tasarlanmış bir filtre aldı. Rakip GitLab, 2019’un başından beri, başlangıçta daha pahalı olan Ultimate sürümüyle sınırlı olan Gizli Tespit özelliğini sunuyor. Artık daha küçük bir işlev yelpazesiyle ücretsiz sürüme de dahil edilmiştir. GitHub düzenli olarak güvenlik konusunu gündeme getiriyor ve yakın zamanda geliştiricilerin daha az güvenlik açığı oluşturmasına yardımcı olmayı amaçlayan Güvenli Kod Oyununu başlattı.

İlgilenenler için güncelleme


Çoğu GitHub kullanıcısının anahtar değişimini fark etmesi pek olası değildir. Yalnızca RSA şifrelemeli SSH kullananlar etkilenir. Güvenli kabuk erişimi için ECDSA veya Ed25519 anahtarlarını kullananların bunları değiştirmesine gerek yoktur.


SSH ile bağlanırken aşağıdaki hata mesajını kim alıyor?


@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s.
Please contact your system administrator.
Add correct host key in ~/.ssh/known_hosts to get rid of this message.
Host key for github.com has changed and you have requested strict checking.
Host key verification failed.


önce eski RSA genel anahtarını yanlarında getirmeleri gerekir ssh-keygen -R github.com silin ve ardından ~/.ssh/known_hosts dosyasına manuel olarak yeni bir anahtar girin veya curl aracılığıyla indirin:

curl -L https://api.github.com/meta | jq -r '.ssh_keys
| .[]' | sed -e 's/^/github.com /' >> ~/.ssh/known_hosts

Güvenlik nedenleriyle, onu kullanmayan veya hata mesajı almayan herkesin güvenliği ihlal edilmiş RSA anahtarını da silmesi gerekir.

GitHub’a göre, yeni anahtarın parmak izi:

SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s

Doğrudan SSH için RSA kullananlara ek olarak, SSH anahtarları kullanılarak gerçekleştirilen belirli GitHub eylemleri de etkilenebilir.

Olay ve karşı önlemler hakkında daha fazla bilgi GitHub blog gönderisinde bulunabilir, ancak özel anahtarın ne zaman ve ne kadar süreyle herkese açık olduğu konusunda ayrıntılı bilgi verilmez.


(rm)



Haberin Sonu
 
Üst