Categorias

o-android-13-tem-codinome-interno-vazado-a-aposta-agora-e-a-sobremesa-tiramisu

Android

Games

Notícias

Tutoriais

youtube-duplica-a-acessibilidade-com-novos-recursos

Vídeos

Notícias

13/10/2021 às 07:00

6 min leitura

Avatar Autor
Por Claylson Martins

GitHub revoga chaves de autenticação SSH duplicadas vinculadas ao bug da biblioteca

GitHub revoga chaves de autenticação SSH duplicadas vinculadas ao bug da biblioteca
Rate this post

O GitHub revogou chaves de autenticação SSH fracas geradas usando uma biblioteca que criava pares de chaves RSA duplicados incorretamente.

O GitHub permite que você se autentique em seu serviço sem um nome de usuário e senha usando o protocolo SSH. Para fazer isso, os usuários gerariam um par de chaves SSH e adicionariam a chave pública à configuração da chave SSH de suas contas.

Ssh Key Setting 1024x447
Adicionar uma chave SSH ao GitHub

Depois que a chave for adicionada à sua conta, você pode usá-la com um cliente Git para fazer login automaticamente no GitHub sem inserir um nome de usuário e senha.

GitHub revoga chaves SSH fracas

Em uma divulgação coordenada entre GitHub e Axosoft, LLC., os fabricantes do popular cliente GitKraken Git, o GitHub disse que revogou chaves SSH fracas geradas pela biblioteca ‘par de chaves‘ usada pelo software.

“Um problema subjacente com uma dependência, chamado  keypair, resultou no cliente GitKraken gerando chaves SSH fracas. Esse problema afetou as versões 7.6.x, 7.7.x e 8.0.0 do cliente GitKraken, e você pode ler a divulgação do GitKraken em seu blog,” divulgou o GitHub hoje em um novo comunicado de segurança.

Keypair é uma biblioteca JavaScript que permite a geração programática de chaves SSH.

Um bug no gerador de números pseudoaleatórios da biblioteca permitia a geração de chaves RSA duplicadas, permitindo que os usuários acessassem outras contas do GitHub protegidas com a mesma chave SSH.

“Um bug no gerador de número pseudo-aleatório usado por  versões do par de chaves até e incluindo 1.0.3 pode permitir a geração de chave RSA fraca. Isso pode permitir que um invasor descriptografe mensagens confidenciais ou obtenha acesso autorizado a uma conta pertencente à vítima. Recomendamos substituir todas as chaves RSA que foram geradas usando o par de chaves versão 1.0.3 ou anterior “, explicou o comunicado do Keypair.

O bug foi descoberto pelo engenheiro da Axosoft Dan Suceava, “que percebeu que o par de chaves gerava regularmente chaves RSA duplicadas”. 

GitHub revoga chaves de autenticação SSH duplicadas vinculadas ao bug da biblioteca

Para proteger seus usuários, o GitHub revogou todas as chaves geradas pelo GitKraken às 17:00 UTC ou 13:00 EST.

O GitHub também revogou outras chaves potencialmente fracas que foram criadas por outros clientes usando a mesma biblioteca de pares de chaves.

Os usuários cujas chaves foram revogadas são notificados pelo GitHub e recomendado a revisar suas chaves SSH e substituí-las se a biblioteca vulnerável as gerou.

A Axosoft recomenda que os usuários de seu software gerem novas chaves SSH usando GitKraken 8.0.1, ou posterior, para cada provedor de serviço Git. 

Via Bleeping Computer

Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão. Nas horas não muito vagas, professor, fotógrafo, apaixonado por rádio e natureza.

Rate this post

Últimos artigos

Newsletter

Receba nossas atualizações!

Newsletter

Receba nossas atualizações!
  • Este campo é para fins de validação e não deve ser alterado.