أبلغ GitHub عن حادثة تم فيها نشر المفتاح الخاص RSA المستخدم كمفتاح مضيف عند الوصول إلى مستودعات GitHub عبر SSH عن طريق الخطأ إلى مستودع يمكن الوصول إليه بشكل عام. أثر التسرب على مفتاح RSA فقط ، ولا تزال مفاتيح SSH المضيفة لـ ECDSA و Ed25519 آمنة. لا يسمح مفتاح SSH للمضيف المكشوف للجمهور بالوصول إلى بنية GitHub الأساسية أو بيانات المستخدم ، ولكن يمكن استخدامه لاعتراض عمليات Git التي يتم إجراؤها عبر SSH.
لمنع الاختطاف المحتمل لجلسات SSH إلى GitHub إذا وقع مفتاح RSA في الأيدي الخطأ ، بدأت GitHub عملية استبدال المفتاح. من جانب المستخدم ، يلزم حذف مفتاح GitHub العمومي القديم (ssh-keygen -R github.com) أو الاستبدال اليدوي للمفتاح في الملف ~ / .ssh / known_hosts ، والذي يمكنه كسر البرامج النصية التي يتم تنفيذها تلقائيًا.
المصدر: opennet.ru