حذف کلیدهای SSH ناامن توسط کلاینت محبوب git در پلتفرم GitHub

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir github revoked insecure ssh keys generated by a popular git client 1
پلتفرم GitHub کلید‌های احراز هویت SSH ضعیف را که از طریق کلاینت GitKraken git GUI ایجاد شده بودند، به دلیل آسیب‌پذیری در یک لایبرری شخص ثالث که احتمال تکرار کلید‌های SSH را افزایش می‌داد، غیرفعال کرد.

در راستای یک اقدام احتیاطی مضاعف، این شرکت که متعلق به مایکروسافت می‌باشد، گفت که در حال ایجاد ضمانت هایی برای جلوگیری از افزودن کلید‌های ضعیف جدید است که به نسخه‌های آسیب‌پذیر GitKraken اضافه می‌شوند.

این عدم استقلال مشکل‌زا که "keypair" نامیده می شود، یک لایبرری متن باز SSH است که به کاربران اجازه می دهد برای اهداف مرتبط با احراز هویت، کلیدهای RSA ایجاد کنند. آنطور که مشخص شده، این مسئله بر نسخه های GitKraken 7.6.x ، 7.7.x و 8.0.0 تأثیر می گذارد، که بین 12 ماه می 2021 و 27 ماه سپتامبر 2021 منتشر شده اند.


این نقص که از آن تحت عنوان CVE-2021-41117 (امتیاز CVSS: ۸. ۷) یاد شده است، مربوط به اشکالی در مولد عددی شبه تصادفی مورد استفاده لایبرری است که منجر به ایجاد شکل ضعیف‌تری از کلید‌های SSH عمومی می‌شود که به دلیل وجود آن‌ها، بی‌نظمی و انتروپی پایین (یعنی اندازه‌گیری تصادفی بودن) می‌تواند احتمال تکرار کلید ساخته شده را افزایش دهد.

جولیان گروبر، عضو تیم نگهداری keypair، در توصیه امنیتی که روز دوشنبه منتشر شد، گفت: "این امکان می‌تواند یک مهاجم را قادر به رمزگشایی پیام‌های محرمانه یا دسترسی غیرمجاز به حساب متعلق به فرد یا سیستم قربانی کند". این مشکل از آن زمان در keypair نسخه 1.0.4 و GitKraken نسخه 8.0.1 مورد بررسی قرار گرفته است.

مهندس Axosoft‌، دان ساچوا به عنوان کاشف این ضعف امنیتی شناخته شد. از سویی نیز مهندس امنیتی GitHub، کوین جونز به عنوان عامل شناسایی علت و محل سورس کد این باگ معرفی گردید. در زمان نگارش این خبر، هیچ مدرکی دال بر اینکه این نقص در فضای سایبری برای به خطر انداختن حساب‌ها، مورد سواستفاده قرار گرفته باشد، وجود ندارد.

به کاربران آسیب دیده توصیه می‌شود که همه کلید‌های SSH قدیمی ایجاد شده توسط GitKraken ذخیره شدهٔ محلی را حذف کرده و با استفاده از GitKraken 8.0.1 یا نسخه جدیدتر آن، برای هر یک از ارائه‌دهندگان خدمات Git کاربران مانند GitHub ،GitLab و Bitbucket، کلید‌های SSH جدید ایجاد کنند.

در آخرین بروزرسانی گفته شده است که همراه با GitHub ،Microsoft Azure DevOps ،GitLab و Atlassian Bitbucket نیز در زمره مجموعه‌هایی قرارگرفته‌اند که لغو دسته جمعی کلید‌های SSH متصل به حساب‌هایی را که از سرویس گیرنده GitKraken برای همگام‌سازی سورس کد استفاده می‌کردند را آغاز کرده‌اند و از کاربران نیز خواسته شده است که کلید‌های عمومی SSH را لغو کرده و با استفاده نسخه به روز شده برنامه، کلید‌های جدیدی را ایجاد کنند.

برچسب ها: Key, GitKraken git GUI, سورس کد, Microsoft Azure, Atlassian Bitbucket, GitLab, Axosoft‌, keypair, git, GitKraken, پلتفرم, SSH, Bitbucket, cybersecurity, Microsoft, Github, گیت هاب, Authentication, مایکروسافت, امنیت سایبری, آسیب پذیری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ