GitHub съобщи за инцидент, при който RSA частният ключ, използван като хост ключ при достъп до хранилищата на GitHub чрез SSH, е погрешно публикуван в публично достъпно хранилище. Течът засегна само RSA ключа; хост SSH ключовете ECDSA и Ed25519 продължават да остават защитени. Обществено достъпният SSH хост ключ не позволява достъп до GitHub инфраструктурата или потребителските данни, но може да се използва за прихващане на Git операции, извършвани чрез SSH.
За да елиминира възможността за прихващане на SSH сесии към GitHub, ако RSA ключът попадне в ръцете на нападатели, GitHub е инициирал процес на подмяна на ключ. От страна на потребителя е необходимо да изтриете стария публичен ключ на GitHub (ssh-keygen -R github.com) или ръчно да замените ключа във файла ~/.ssh/known_hosts, което може да наруши автоматично изпълняваните скриптове.
Източник: opennet.ru