应美国软件公司 Axosoft 公司的要求,当前最大的代码托管平台微软Azure DevOps、GitHub、GitLab 和 BitBucket开始大规模批量撤销 SSH密钥,原因是 Axosoft 生产的热门 Git 软件客户端 GitKraken 版本 7.6.x、7.7.x和8.0.0使用了一个名为 “keypair” 的库生成 SSH 密钥,但由该库老旧版本生成低熵的 RSA 密钥在某些情况下可生成重复的 SSH 密钥。
Axosoft 公司解释称,GitKraken app 通过 “keypair” 库生成的 SSH 密钥可使开发人员将其 GitKraken app 连接到上述四大代码托管平台或者其它远程 Git 源代码托管服务器上的账户。
攻击者可利用重复的 SSH 密钥访问用户账户并窃取其专有源代码。
Axosoft 公司表示发现该问题后,在 GitKraken app 中替换了 keypair 库,发布在版本 8.0.1 中并通知了上述四大平台。
该公司发布博客文章后不久,Azure DevOps、GitHub、GitLab 和 Atlassian 公司的 BitBucket 平台开始撤销和使用 GitKraken app 同步源代码账户的所有SSH密钥。
四大代码托管平台目前要求用户使用不同的 Git 客户端或更新的 GitKraken app 生成新的 SSH 密钥。
Axosoft 公司和四大平台表示,截至目前尚未发现证据表明攻击者利用该漏洞攻陷账户。
另外,GitHub 还要求除 Git 客户端以外的其它软件应用的开发人员查看是否使用了易受攻击的 keypair 库,并做出相应的代码更新。本周一,keypair 库也收到了安全更新。
原文链接
https://therecord.media/azure-github-gitlab-bitbucket-mass-revoke-ssh-keys-following-bug-report/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
