GitHub hat einen Vorfall gemeldet, bei dem ein geheimer RSA-Schlüssel, der als Hosting-Schlüssel für den Zugriff auf GitHub-Repositories über SSH verwendet wird, versehentlich in ein öffentlich zugängliches Repository veröffentlicht wurde. Der Leak betraf nur den RSA-Schlüssel, die Hosting-SSH-Schlüssel ECDSA und Ed25519 bleiben weiterhin sicher. Der öffentlich zugängliche Hosting-SSH-Schlüssel ermöglicht keinen Zugang zur GitHub-Infrastruktur oder zu Nutzerdaten, kann jedoch dazu verwendet werden, Git-Operationen, die über SSH durchgeführt werden, abzufangen.
Um mögliche Abfängattacken auf SSH-Sitzungen zu GitHub zu verhindern, falls der RSA-Schlüssel in die falschen Hände gerät, hat GitHub den Prozess zur Schlüsselersetzung eingeleitet. Die Nutzer müssen den alten öffentlichen Schlüssel von GitHub entfernen (ssh-keygen -R github.com) oder den Schlüssel manuell in der Datei ~/.ssh/known_hosts ersetzen, was die Funktionalität automatisch ausgeführter Skripte beeinträchtigen kann.
Quelle: opennet.ru
