GitHub 報告了一起事件,其中透過 SSH 存取 GitHub 儲存庫時用作主機金鑰的 RSA 私鑰被錯誤地發佈到可公開存取的儲存庫。 此次洩漏僅影響 RSA 金鑰;主機 SSH 金鑰 ECDSA 和 Ed25519 繼續保持安全。 公開可用的 SSH 主機金鑰不允許存取 GitHub 基礎設施或使用者數據,但可用於攔截透過 SSH 執行的 Git 操作。
為了消除 RSA 金鑰落入攻擊者手中時 GitHub 的 SSH 會話被攔截的可能性,GitHub 啟動了金鑰替換流程。 在使用者端,需要刪除舊的 GitHub 公鑰(ssh-keygen -R github.com)或手動取代 ~/.ssh/known_hosts 檔案中的金鑰,這可能會破壞自動執行的腳本。
來源: opennet.ru