GitHub, חברת בת של מיקרוסופט החליפה את מפתחות ה-SSH שלה לאחר שמישהו פרסם בטעות את חלק מפתח המארח הפרטי של RSA SSH של ערכת ההצפנה במאגר GitHub פתוח.
בעוד שחלקם עשויים לקפוץ בבהלה, בהנחה שהמפתחות הפרטיים נחשפו עקב ה כוונת זדון של שחקן איוםלמען האמת, זה התרחש בגלל טעות אנוש. ישנן גרסאות פרטיות וציבוריות של מפתחות SSH, ולמרות שניתן לשתף או לפרסם מפתחות ציבוריים, חיוני שמפתחות פרטיים יישמרו... ובכן, פרטיים. למרות ש-GitHub לא חשף מי פרסם את המפתחות או היכן הם פורסמו, מנהלי מערכת פרסמו בבלוג שלהם והסבירו את המצב.
"השבוע, גילינו שהמפתח הפרטי RSA SSH של GitHub.com נחשף לזמן קצר במאגר GitHub ציבורי. מיד פעלנו כדי להכיל את החשיפה והתחלנו לחקור כדי להבין את הסיבה וההשפעה השורשית. כעת השלמנו את החלפת המפתח, והמשתמשים יראו את השינוי מתפשט במהלך שלושים הדקות הבאות." GitHub נאמר בפוסט בבלוג.
GitHub החליף את מפתח המארח RSA SSH כדי להגן על המשתמשים שלהם מפני האפשרות שיריב ראה את המפתח הפרטי. שחקני איומים יכולים להשתמש בו כדי לפקח על פעולות המשתמשים או להתחזות ל-GitHub לצורך התקפות עוקבות.
הפוסט בבלוג הסביר כי השינוי אינו משפיע על נתוני לקוחות, אינו דורש שינוי עבור ECDSA או Ed25519, או את התשתית של GitHub - רק הפעולות "על SSH באמצעות RSA".
אם משתמשים רואים הודעת אזהרה, הם יצטרכו להסיר מפתחות ישנים באמצעות שלוש אפשרויות: עדכון ידני של הקובץ כדי להסיר את הערך הישן; הפעלת פקודה חדשה ש-GitHub רשמה בבלוג שלה; או באמצעות עדכונים אוטומטיים אם אלה מופעלים. ברגע שהמשתמשים יראו את טביעת האצבע עם הכיתוב "SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s", הם יוודאו שהמארחים שלהם מחוברים למפתח RSA SSH החדש.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.darkreading.com/application-security/github-private-rsa-ssh-key-mistakenly-exposed-public-repository
- $ למעלה
- 10
- 7
- a
- שחקנים
- מנהלים
- להשפיע על
- לאחר
- אזעקה
- ו
- ARE
- המתקפות
- מכני עם סלילה אוטומטית
- BE
- כי
- החל
- בלוג
- הפרה
- בקצרה
- by
- CAN
- לגרום
- שינוי
- COM
- השלמת
- מחובר
- להכיל
- יכול
- לקוח
- נתוני לקוחות
- אבטחת סייבר
- יומי
- נתונים
- נתוני פרה
- נתן
- גילה
- אמייל
- מתעורר
- הצף
- כניסה
- שגיאה
- חיוני
- מוסבר
- המסביר
- חשוף
- חשיפה
- שלח
- טביעת אצבעות
- בעד
- החל מ-
- GitHub
- יש
- המארח
- מארחים
- HTTPS
- בן אנוש
- מיד
- פְּגִיעָה
- in
- מידע
- תשתית
- כוונה
- IT
- שֶׁלָה
- jpg
- לקפוץ
- מפתח
- מפתחות
- האחרון
- ברשימה
- באופן ידני
- הודעה
- מיקרוסופט
- דקות
- צג
- MPL
- צורך
- חדש
- הבא
- התרחשה
- of
- זקן
- on
- לפתוח
- תפעול
- אפשרויות
- חלק
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אפשרות
- הודעה
- פורסם
- פְּרָטִי
- מפתח פרטי
- מפתחות פרטיים
- להגן
- ציבורי
- מפתחות ציבוריים
- לאור
- להסיר
- החליף
- מאגר
- דורש
- שורש
- RSA
- ריצה
- s
- SHA256
- משותף
- מצב
- כמה
- מישהו
- אמור
- הירשמו
- חברת בת
- זֶה
- השמיים
- שֶׁלָהֶם
- השבוע
- איום
- איום שחקנים
- איומים
- שְׁלוֹשָׁה
- ל
- מגמות
- אמת
- הסתובב
- להבין
- עדכונים
- עדכון
- משתמשים
- מְאוּמָת
- באמצעות
- פגיעויות
- אזהרה
- דֶרֶך..
- שבוע
- שבועי
- טוֹב
- מי
- יצטרך
- עם
- זפירנט
