GitHub ziņoja par incidentu, kurā privāta RSA atslēga, kas tika izmantota kā resursdatora atslēga piekļuvei GitHub repozitorijiem, izmantojot SSH, kļūdaini tika publicēta publiski pieejamā repozitorijā. Noplūde skāra tikai RSA atslēgu; ECDSA un Ed25519 resursdatora SSH atslēgas paliek drošībā. Nopludinātā resursdatora SSH atslēga neļauj piekļūt GitHub infrastruktūrai vai lietotāju datiem, bet to var izmantot, lai pārtvertu Git darbības, kas veiktas, izmantojot SSH.
Lai novērstu iespējamu SSH sesiju nolaupīšanu uz GitHub, ja RSA atslēga nonāk uzbrucēju rokās, GitHub ir uzsācis atslēgas pārnešanas procesu. Lietotājiem ir jāizdzēš vecā GitHub publiskā atslēga (ssh-keygen -R github.com) vai manuāli jāaizstāj atslēga failā ~/.ssh/known_hosts, kas varētu traucēt automātiski izpildītus skriptus.
Avots: opennet.ru
