GitHub meldde een incident waarbij de RSA-privésleutel die werd gebruikt als hostsleutel bij toegang tot GitHub-repository's via SSH, per ongeluk werd gepubliceerd in een openbaar toegankelijke repository. Het lek had alleen betrekking op de RSA-sleutel, de ECDSA- en Ed25519-host-SSH-sleutels blijven veilig. Een openbare host-SSH-sleutel staat geen toegang toe tot de GitHub-infrastructuur of gebruikersgegevens, maar kan worden gebruikt om Git-bewerkingen die via SSH worden uitgevoerd, te onderscheppen.
Om mogelijke kaping van SSH-sessies naar GitHub te voorkomen als de RSA-sleutel in verkeerde handen valt, heeft GitHub een sleutelvervangingsproces gestart. Aan de gebruikerskant is het verwijderen van de oude openbare GitHub-sleutel (ssh-keygen -R github.com) of handmatige vervanging van de sleutel in het ~/.ssh/known_hosts-bestand vereist, wat automatisch uitgevoerde scripts kan verstoren.
Bron: opennet.ru