Mae GitHub wedi adrodd am ddigwyddiad lle cafodd yr allwedd breifat RSA a ddefnyddiwyd fel yr allwedd gwesteiwr wrth gyrchu storfeydd GitHub trwy SSH ei chyhoeddi ar gam i gadwrfa sy'n hygyrch i'r cyhoedd. Effeithiodd y gollyngiad ar yr allwedd RSA yn unig; mae'r allweddi SSH gwesteiwr ECDSA ac Ed25519 yn parhau i fod yn ddiogel. Nid yw allwedd gwesteiwr SSH sydd ar gael yn gyhoeddus yn caniatáu mynediad i seilwaith GitHub na data defnyddwyr, ond gellir ei ddefnyddio i ryng-gipio gweithrediadau Git a gyflawnir trwy SSH.
Er mwyn dileu'r posibilrwydd o ryng-gipio sesiynau SSH i GitHub os yw'r allwedd RSA yn disgyn i ddwylo ymosodwyr, mae GitHub wedi cychwyn proses ailosod allweddol. Ar ochr y defnyddiwr, mae angen dileu'r hen allwedd gyhoeddus GitHub (ssh-keygen -R github.com) neu ddisodli'r allwedd â llaw yn y ffeil ~/.ssh/known_hosts, a all dorri gweithrediad sgriptiau a weithredir yn awtomatig.
Ffynhonnell: opennet.ru