GitHub meldete einen Vorfall, bei dem der private RSA-Schlüssel, der beim Zugriff auf GitHub-Repositorys über SSH als Hostschlüssel verwendet wurde, fälschlicherweise in einem öffentlich zugänglichen Repository veröffentlicht wurde. Das Leck betraf nur den RSA-Schlüssel, die Host-SSH-Schlüssel ECDSA und Ed25519 sind weiterhin sicher. Ein öffentlich zugänglicher Host-SSH-Schlüssel ermöglicht keinen Zugriff auf die GitHub-Infrastruktur oder Benutzerdaten, kann aber zum Abfangen von Git-Vorgängen verwendet werden, die über SSH ausgeführt werden.
Um eine mögliche Übernahme von SSH-Sitzungen auf GitHub zu verhindern, wenn der RSA-Schlüssel in die falschen Hände gerät, hat GitHub einen Schlüsselaustauschprozess eingeleitet. Auf Benutzerseite ist das Löschen des alten öffentlichen GitHub-Schlüssels (ssh-keygen -R github.com) oder das manuelle Ersetzen des Schlüssels in der Datei ~/.ssh/known_hosts erforderlich, was automatisch ausgeführte Skripte beschädigen kann.
Source: opennet.ru