Главная Новости GITHUB, GITLAB, BITBUCKET И MICROSOFT ОТЗЫВАЮТ SSH-КЛЮЧИ

GITHUB, GITLAB, BITBUCKET И MICROSOFT ОТЗЫВАЮТ SSH-КЛЮЧИ

Массовый отзыв ключей связан с уязвимостями в популярном программном Git-клиенте GitKraken.

Массовый отзыв SSH-ключей одними из крупнейших на сегодняшний день порталов для хостинга кода — Microsoft, GitHub, GitLab и BitBucket, начался во вторник, 12 октября, после того, как стало известно об уязвимости в популярном программном Git-клиенте GitKraken.

Обнаружили уязвимость эксперты GitKraken, аризонской компанией Axosoft. Версии клиента 7.6.x, 7.7.x и 8.0.0 использовали библиотеку keypair для генерирования SSH-ключей, позволяющих разработчикам подключать свои приложения GitKraken к учетным записям на Azure DevOps, GitHub, GitLab, BitBucket и других удаленных хостингах исходного кода.

Тем временем более старые версии библиотеки генерировали RSA-ключи с низкой энтропией. В данном случае злоумышленники потенциально могли воспользоваться ею при определенных условиях для создания дубликатов SSH-ключей. В дальнейшем с помощью этих дубликатов кибертеррористы получали доступ к учетным записям пользователей, а также могли похитить проприетарный исходный код.

Компани Axosoft сразу же заменила библиотеку keypair в приложении GitKraken, выпустила версию GitKraken 8.0.1 и уведомила четыре вышеупомянутые платформы. После чего безопасности Azure DevOps, GitHub, GitLab и Atlassian BitBucket начали процесс отзыва всех SSH-ключей, подключенных к учетным записям, в которых для синхронизации исходного кода используется приложение GitKraken.

В дополнение GitHub попросил разработчиков других программных приложений проверить наличие в их продуктах уязвимой библиотеки keypair и в случае необходимости обновить свой код. Библиотека keypair получила исправление для уязвимости сразу после обнаружения.

Вышеописанный случай еще раз показывает, как надежная система ИБ способна сэкономить миллионы долларов, а также бесценную репутацию Компании. Для того, чтобы построить эффективную систему ИБ для Наших Клиентов, мы используем в работе только самые надежные и современные решения от Наших Партнеров.