O GitHub revogou chaves de autenticação SSH fracas geradas usando uma biblioteca que criava pares de chaves RSA duplicados incorretamente.
O GitHub permite que você se autentique em seu serviço sem um nome de usuário e senha usando o protocolo SSH. Para fazer isso, os usuários gerariam um par de chaves SSH e adicionariam a chave pública à configuração da chave SSH de suas contas.
Depois que a chave for adicionada à sua conta, você pode usá-la com um cliente Git para fazer login automaticamente no GitHub sem inserir um nome de usuário e senha.
GitHub revoga chaves SSH fracas
Em uma divulgação coordenada entre GitHub e Axosoft, LLC., os fabricantes do popular cliente GitKraken Git, o GitHub disse que revogou chaves SSH fracas geradas pela biblioteca ‘par de chaves‘ usada pelo software.
“Um problema subjacente com uma dependência, chamado keypair, resultou no cliente GitKraken gerando chaves SSH fracas. Esse problema afetou as versões 7.6.x, 7.7.x e 8.0.0 do cliente GitKraken, e você pode ler a divulgação do GitKraken em seu blog,” divulgou o GitHub hoje em um novo comunicado de segurança.
Keypair é uma biblioteca JavaScript que permite a geração programática de chaves SSH.
Um bug no gerador de números pseudoaleatórios da biblioteca permitia a geração de chaves RSA duplicadas, permitindo que os usuários acessassem outras contas do GitHub protegidas com a mesma chave SSH.
Notícias Relacionadas
Audiolivros Spotify
Spotify expande catálogo de audiolivros com parceria estratégica
Spotify firmou parceria com a Bloomsbury Publishing para expandir seu catálogo de audiolivros. A nova coleção inclui 1.000 títulos de autores aclamados e narradores de destaque, fortalecendo o papel dos audiolivros na plataforma.
Tecnologia móvel
Samsung destaca avanço nas mensagens RCS com suporte no iOS
O suporte a RCS chega ao iOS com o iOS 18.1, permitindo que usuários de Android e iPhone aproveitem uma experiência de mensagens aprimorada e sem necessidade de redes sociais.
“Um bug no gerador de número pseudo-aleatório usado por versões do par de chaves até e incluindo 1.0.3 pode permitir a geração de chave RSA fraca. Isso pode permitir que um invasor descriptografe mensagens confidenciais ou obtenha acesso autorizado a uma conta pertencente à vítima. Recomendamos substituir todas as chaves RSA que foram geradas usando o par de chaves versão 1.0.3 ou anterior “, explicou o comunicado do Keypair.
O bug foi descoberto pelo engenheiro da Axosoft Dan Suceava, “que percebeu que o par de chaves gerava regularmente chaves RSA duplicadas”.
GitHub revoga chaves de autenticação SSH duplicadas vinculadas ao bug da biblioteca
Para proteger seus usuários, o GitHub revogou todas as chaves geradas pelo GitKraken às 17:00 UTC ou 13:00 EST.
O GitHub também revogou outras chaves potencialmente fracas que foram criadas por outros clientes usando a mesma biblioteca de pares de chaves.
Os usuários cujas chaves foram revogadas são notificados pelo GitHub e recomendado a revisar suas chaves SSH e substituí-las se a biblioteca vulnerável as gerou.
A Axosoft recomenda que os usuários de seu software gerem novas chaves SSH usando GitKraken 8.0.1, ou posterior, para cada provedor de serviço Git.
Via Bleeping Computer
