GitHub撤销了由GitKraken客户端生成的不安全弱SSH密钥

GitHub撤销了由GitKraken客户端生成的不安全弱SSH密钥

由于第三方库中的漏洞增加了重复 SSH 密钥的可能性,代码托管平台 GitHub 已撤销通过 GitKraken git GUI 客户端生成的弱 SSH 身份验证密钥。作为一项预防措施,Github表示正在建立新的保护措施,以防止易受攻击的 GitKraken 版本添加新生成的弱密​​钥。

根据网络安全行业门户极牛网GEEKNB.COM的梳理,有问题的依赖项称为“密钥对”,是一个开源 SSH 密钥生成库,允许用户创建 RSA 密钥以用于身份验证相关的使用。已发现它会影响2021 年 5 月 12 日至 2021 年 9 月 27 日期间发布的GitKraken版本 7.6.x、7.7.x 和 8.0.0。

该漏洞号为 CVE-2021-41117(CVSS 评分:8.7)涉及库使用的伪随机数生成器中的一个错误,导致创建较弱形式的公共 SSH 密钥,由于它们的低熵,即随机性的度量太低,使得密钥重复的概率变大,这可能使攻击者能够解密机密信息或未经授权访问属于受害者的帐户。

Axosoft 工程师 Dan Suceava 因发现了安全漏洞而受到赞誉,而 GitHub 安全工程师 Kevin Jones 则因确定了漏洞的原因和源代码位置而受到认可。在撰写本文时,没有证据表明该漏洞被广泛利用来破坏帐户。

强烈建议受影响的用户查看并删除所有存储在本地的旧 GitKraken 生成的 SSH 密钥,以及使用 GitKraken 8.0.1 或更高版本为您的每个 Git 服务提供商生成新的 SSH 密钥例如 GitHub、GitLab 和Bitbucket 等。

 

GitHub撤销了由GitKraken客户端生成的不安全弱SSH密钥

极牛网精选文章《GitHub撤销了由GitKraken客户端生成的不安全弱SSH密钥》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16647.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2021年10月12日 下午3:18
下一篇 2021年10月13日 上午11:06

相关推荐

发表回复

登录后才能评论