Kwetsbaarheid: Axosoft waarschuwt Azure DevOps en GitHub over zwakke SSH-sleutels


Het softwarebedrijf Axosoft informeerde de codehost GitHub en Azure DevOps, de opvolger van Microsoft’s Visual Studio Team Services (VSTS), blijkbaar op 28 september 2021 over kwetsbaarheden in een afhankelijkheid van de Git GUI-client GitKraken. De kwetsbaarheid leidt er waarschijnlijk toe dat de GitKraken-client zwakke SSH-sleutels (Secure Shell) genereert. Deze sleutels zijn gemaakt met een lagere entropie, dus er is een grotere kans op duplicatie van sleutels. Versies 7.6.x, 7.7.x en 8.0.0 van de client worden beïnvloed.

GitHub claimt alle sleutels te hebben ingetrokken die zijn gegenereerd door deze kwetsbare versies van de GitKraken-client en in gebruik waren op GitHub.com – evenals alle potentieel onveilige sleutels die zijn gegenereerd door andere clients die mogelijk dezelfde kwetsbare afhankelijkheid gebruikten. Er zijn verdere beschermende maatregelen ingevoerd om te voorkomen dat kwetsbare versies van GitKraken in de toekomst nieuw gegenereerde zwakke sleutels van oudere, kwetsbare versies van de client toevoegen.

Volgens de blogpost heeft de codehost: Uit voorzorg onderzoeken we het geval dat zwak gegenereerde sleutels die op GitHub.com worden gebruikt, afkomstig zijn van andere externe clients en integrators die ook deze kwetsbare bibliotheek gebruiken. Vanwege de aard van de kwetsbaarheid is het niet mogelijk om alle mogelijke zwakke SSH-sleutels te identificeren die door deze bibliotheek worden gegenereerd en de kwetsbare clients die deze gebruiken. Als gevolg hiervan heeft GitHub andere potentieel zwakke sleutels ingetrokken die aan deze scenario’s zijn gekoppeld en het gebruik ervan geblokkeerd. Getroffen gebruikers van deze sleutels hadden volgens GitHub op de hoogte moeten worden gebracht.

Volgens de blogpost heeft Azure DevOps vergelijkbare stappen genomen en alle onveilige sleutels gecontroleerd en ingetrokken. Betrokken personen moeten binnen 24 uur op de hoogte worden gesteld. Zelfs als gebruikers geen melding hebben ontvangen, raadt Azure DevOps aan om de openbare SSH-sleutels die aan Azure DevOps zijn toegevoegd, te verwijderen en een nieuwe toe te voegen. Een gids geeft meer informatie de aanbevolen werkwijze.

GitHub raadt aan om de SSH-sleutels die aan een GitHub-account zijn gekoppeld te controleren en de sleutels te herzien die zijn of kunnen zijn gegenereerd met de betreffende bibliotheek. Uitgebreide documentatie geeft meer informatie over het controleren van dergelijke sleutels.

Beheerders van GitHub Enterprise Server Deployments kunnen de SSH-sleutels die aan hun instances zijn toegevoegd, controleren door de public_key.create-Bekijk acties in het controlelogboek van het sitebeheerdersdashboard. Deze resultaten kunnen worden gefilterd voor specifieke user agents om klanten te identificeren die mogelijk risico lopen.

GitKraken zelf biedt ook informatie over het controleren van SSH-sleutels op de officiële website.


(mdo)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: