GitHub 報告了一起事件,當透過 SSH 存取 GitHub 儲存庫時,用作主機金鑰的私人 RSA 金鑰被錯誤地發佈在可公開存取的儲存庫中。此次洩漏僅影響了 RSA 金鑰,ECDSA 和 Ed25519 主機 SSH 金鑰仍然安全。洩漏的主機 SSH 金鑰不允許存取 GitHub 基礎設施或使用者數據,但可用於攔截透過 SSH 執行的 Git 操作。
為了防止 RSA 金鑰落入攻擊者手中時可能攔截與 GitHub 的 SSH 會話,GitHub 已啟動金鑰替換流程。在用戶端,這需要刪除舊的 GitHub 公鑰(ssh-keygen -R github.com)或手動替換 ~/.ssh/known_hosts 檔案中的金鑰,這可能會破壞自動執行的腳本。
來源: opennet.ru
