GitHub 报告了一个事件,其中通过 SSH 访问 GitHub 存储库时用作主机密钥的 RSA 私钥被错误地发布到可公开访问的存储库。 此次泄漏仅影响 RSA 密钥,ECDSA 和 Ed25519 主机 SSH 密钥仍然安全。 公开暴露的主机 SSH 密钥不允许访问 GitHub 基础设施或用户数据,但可用于拦截通过 SSH 执行的 Git 操作。
为了防止 RSA 密钥落入坏人之手时可能劫持 GitHub 的 SSH 会话,GitHub 已启动密钥替换流程。 在用户端,需要删除旧的 GitHub 公钥 (ssh-keygen -R github.com) 或手动替换 ~/.ssh/known_hosts 文件中的密钥,这可能会破坏自动执行的脚本。
来源: opennet.ru