*GitHub revogou chaves SSH inseguras geradas por um cliente git popular
A plataforma de hospedagem de código GitHub revogou chaves de autenticação SSH fracas que foram geradas por meio do cliente GitKraken git GUI devido a uma vulnerabilidade em uma biblioteca de terceiros que aumentou a probabilidade de chaves SSH duplicadas.
Como medida de precaução adicional, a empresa de propriedade da Microsoft também disse que está construindo salvaguardas para evitar que versões vulneráveis do GitKraken adicionem chaves fracas recém-geradas.
A dependência problemática, chamada de " par de chaves " , é uma biblioteca de geração de chaves SSH de código aberto que permite aos usuários criar chaves RSA para fins relacionados à autenticação. Foi descoberto que ele afetou as versões 7.6.x, 7.7.x e 8.0.0 do GitKraken, lançadas entre 12 de maio de 2021 e 27 de setembro de 2021.
Mas devido a um bug no gerador de números pseudo-aleatórios usado pela biblioteca, a falha resultou na criação de uma forma mais fraca de chaves SSH públicas, que, devido à sua baixa entropia - ou seja, a medida de aleatoriedade - poderia aumentar o probabilidade de duplicação da chave.
"Isso pode permitir que um invasor decifre mensagens confidenciais ou obtenha acesso não autorizado a uma conta pertencente à vítima", disse o mantenedor do keypair, Julian Gruber , em um comunicado publicado na segunda-feira. Desde então, o problema foi resolvido no par de chaves versão 1.0.4 e no GitKraken versão 8.0.1.
O engenheiro da Axosoft, Dan Suceava, recebeu o crédito por descobrir a falha de segurança, enquanto o engenheiro de segurança do GitHub, Kevin Jones, foi reconhecido por identificar a causa e a localização do código-fonte do bug. No momento da escrita, não há evidências de que a falha foi explorada à solta para comprometer contas.
Os usuários afetados são altamente recomendados para revisar e "remover todas as chaves SSH antigas geradas pelo GitKraken armazenadas localmente" e "gerar novas chaves SSH usando GitKraken 8.0.1, ou posterior, para cada um de seus provedores de serviço Git", como GitHub, GitLab e Bitbucket, entre outros.
Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário