GitHub raportis okazaĵon en kiu la privata ŝlosilo RSA uzata kiel la gastiga ŝlosilo dum aliro al GitHub-deponejoj per SSH estis erare publikigita al publike alirebla deponejo. La liko influis nur la RSA-ŝlosilon, la ECDSA kaj Ed25519-gastigaj SSH-ŝlosiloj daŭre estas sekuraj. Publike elmontrita gastiganta SSH-ŝlosilo ne permesas aliron al la GitHub-infrastrukturo aŭ uzantdatenoj, sed povas esti uzata por kapti Git-operaciojn faritajn per SSH.
Por malhelpi eblan forkapton de SSH-sesioj al GitHub se la RSA-ŝlosilo falas en malĝustajn manojn, GitHub iniciatis ŝlosilan anstataŭan procezon. Flanke de uzanto, estas bezonata forigo de la malnova publika ŝlosilo GitHub (ssh-keygen -R github.com) aŭ mana anstataŭigo de la ŝlosilo en la dosiero ~/.ssh/known_hosts, kiu povas rompi aŭtomate efektivigitajn skriptojn.
fonto: opennet.ru