GitHub نے ایک واقعہ کی اطلاع دی جس میں RSA نجی کلید کو میزبان کلید کے طور پر استعمال کیا گیا جب SSH کے ذریعے GitHub ریپوزٹریز تک رسائی حاصل کی گئی تھی جسے غلطی سے عوامی طور پر قابل رسائی ذخیرہ میں شائع کیا گیا تھا۔ لیک نے صرف RSA کلید کو متاثر کیا، ECDSA اور Ed25519 میزبان SSH کیز محفوظ رہیں۔ عوامی طور پر سامنے آنے والی میزبان SSH کلید GitHub کے بنیادی ڈھانچے یا صارف کے ڈیٹا تک رسائی کی اجازت نہیں دیتی ہے، لیکن SSH کے ذریعے انجام پانے والے Git آپریشنز کو روکنے کے لیے استعمال کیا جا سکتا ہے۔
اگر RSA کلید غلط ہاتھوں میں آجاتی ہے تو GitHub میں SSH سیشنز کے ممکنہ ہائی جیکنگ کو روکنے کے لیے، GitHub نے کلیدی تبدیلی کا عمل شروع کیا ہے۔ صارف کی طرف، پرانی GitHub عوامی کلید (ssh-keygen -R github.com) کو حذف کرنا یا ~/.ssh/known_hosts فائل میں کلید کو دستی طور پر تبدیل کرنے کی ضرورت ہے، جو خود کار طریقے سے چلنے والی اسکرپٹ کو توڑ سکتی ہے۔
ماخذ: opennet.ru