GitHub har rapporteret en hændelse, hvor den private RSA-nøgle, der blev brugt som værtsnøgle ved adgang til GitHub-lagre via SSH, ved en fejl blev offentliggjort til et offentligt tilgængeligt depot. Lækagen påvirkede kun RSA-nøglen; værts-SSH-nøglerne ECDSA og Ed25519 forbliver fortsat sikre. En offentlig tilgængelig SSH-værtsnøgle tillader ikke adgang til GitHub-infrastrukturen eller brugerdata, men kan bruges til at opsnappe Git-operationer udført via SSH.
For at eliminere muligheden for aflytning af SSH-sessioner til GitHub, hvis RSA-nøglen falder i hænderne på angribere, har GitHub indledt en nøgleudskiftningsproces. På brugersiden er det nødvendigt at slette den gamle GitHub offentlige nøgle (ssh-keygen -R github.com) eller manuelt erstatte nøglen i filen ~/.ssh/known_hosts, som kan bryde automatisk udførte scripts.
Kilde: opennet.ru