GitHub revoga chaves de autenticação SSH duplicadas vinculadas ao bug da biblioteca

Rate this post

O GitHub revogou chaves de autenticação SSH fracas geradas usando uma biblioteca que criava pares de chaves RSA duplicados incorretamente.

O GitHub permite que você se autentique em seu serviço sem um nome de usuário e senha usando o protocolo SSH. Para fazer isso, os usuários gerariam um par de chaves SSH e adicionariam a chave pública à configuração da chave SSH de suas contas.

Adicionar uma chave SSH ao GitHub

Depois que a chave for adicionada à sua conta, você pode usá-la com um cliente Git para fazer login automaticamente no GitHub sem inserir um nome de usuário e senha.

GitHub revoga chaves SSH fracas

Em uma divulgação coordenada entre GitHub e Axosoft, LLC., os fabricantes do popular cliente GitKraken Git, o GitHub disse que revogou chaves SSH fracas geradas pela biblioteca ‘par de chaves‘ usada pelo software.

“Um problema subjacente com uma dependência, chamado  keypair, resultou no cliente GitKraken gerando chaves SSH fracas. Esse problema afetou as versões 7.6.x, 7.7.x e 8.0.0 do cliente GitKraken, e você pode ler a divulgação do GitKraken em seu blog,” divulgou o GitHub hoje em um novo comunicado de segurança.

Keypair é uma biblioteca JavaScript que permite a geração programática de chaves SSH.

Um bug no gerador de números pseudoaleatórios da biblioteca permitia a geração de chaves RSA duplicadas, permitindo que os usuários acessassem outras contas do GitHub protegidas com a mesma chave SSH.

“Um bug no gerador de número pseudo-aleatório usado por  versões do par de chaves até e incluindo 1.0.3 pode permitir a geração de chave RSA fraca. Isso pode permitir que um invasor descriptografe mensagens confidenciais ou obtenha acesso autorizado a uma conta pertencente à vítima. Recomendamos substituir todas as chaves RSA que foram geradas usando o par de chaves versão 1.0.3 ou anterior “, explicou o comunicado do Keypair.

O bug foi descoberto pelo engenheiro da Axosoft Dan Suceava, “que percebeu que o par de chaves gerava regularmente chaves RSA duplicadas”. 

GitHub revoga chaves de autenticação SSH duplicadas vinculadas ao bug da biblioteca

Para proteger seus usuários, o GitHub revogou todas as chaves geradas pelo GitKraken às 17:00 UTC ou 13:00 EST.

O GitHub também revogou outras chaves potencialmente fracas que foram criadas por outros clientes usando a mesma biblioteca de pares de chaves.

Os usuários cujas chaves foram revogadas são notificados pelo GitHub e recomendado a revisar suas chaves SSH e substituí-las se a biblioteca vulnerável as gerou.

A Axosoft recomenda que os usuários de seu software gerem novas chaves SSH usando GitKraken 8.0.1, ou posterior, para cada provedor de serviço Git. 

Via Bleeping Computer

FONTE: Blog SempreUpdate
(Acesse o website do autor da publicação para mais detalhes)