GitHub ha eliminado las claves SSH inseguras generadas por el popular cliente git

Claves SSH

La plataforma de alojamiento de GitHub eliminó las claves de autenticación SSH débiles generadas por el cliente de GUI GitKraken Git debido a una vulnerabilidad en una biblioteca de terceros que aumentó la probabilidad de claves SSH duplicadas.

Como precaución adicional, la empresa propiedad de Microsoft también dijo que estaba creando medidas de seguridad para evitar que las versiones vulnerables de GitKraken agreguen claves débiles recién generadas.

Una dependencia problemática llamada «par de claves» es una biblioteca de código abierto para generar claves SSH que permite a los usuarios crear claves RSA para fines relacionados con la autenticación. Se ha descubierto que afecta a las versiones 7.6.x, 7.7.x y 8.0.0 de GitKraken, lanzadas entre el 12 de mayo de 2021 y el 27 de septiembre de 2021.

El error, rastreado como CVE-2021-41117 (puntaje CVSS: 8.7), se refiere a un error en el generador de números pseudoaleatorios que usa la biblioteca, lo que resulta en una forma más débil de claves públicas SSH que baja entropía, es decir, aleatoriedad. podría aumentar la probabilidad de duplicación de claves.

«Esto podría permitir que un atacante descifre mensajes confidenciales u obtenga acceso no autorizado a la cuenta de la víctima», dijo el administrador del par de claves, Julian Gruber, en un informe publicado el lunes. Desde entonces, el problema se resolvió en el par de claves versión 1.0.4 y GitKraken versión 8.0.1.

El ingeniero de Axosoft, Dan Suceava, fue elogiado por descubrir una vulnerabilidad de seguridad, mientras que el ingeniero de seguridad de GitHub, Kevin Jones, fue reconocido por identificar la causa y ubicar el código fuente del error. Al momento de escribir este artículo, no hay evidencia de que el error haya sido explotado de forma salvaje para comprometer las cuentas.

Se recomienda encarecidamente a los usuarios afectados que revisen y «eliminen todas las claves SSH GitKraken generadas localmente» y «generen nuevas claves SSH utilizando GitKraken 8.0.1 o posterior para cada uno de sus proveedores de servicios Git», como GitHub, GitLab y Bitbucket, entre otros. .

Actualizaciones: Microsoft Azure DevOps, GitLab y Atlassian Bitbucket, junto con GitHub, también lanzaron revocaciones masivas de claves SSH adjuntas a cuentas en las que se utilizó el cliente GitKraken para sincronizar el código fuente, instando a los usuarios a revocar claves públicas SSH y generar nuevas claves utilizando claves actualizadas. versión de la aplicación.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática