GitHub heeft zijn eigen privé-ssh-sleutel moet worden vervangen, nadat het platform dat per ongeluk in een openbare repository was geplaatst. Daardoor hebben veel gebruikers problemen met de juiste verbinding leggen naar hun eigen repo’s
GitHub schrijft in een korte blogpost dat de ssh-sleutel is vervangen. De sleutel, een RSA-sleutel, werd gebruikt om versleutelde Git-verbindingen naar GitHub.com op te zetten. Door de sleutel over te nemen, zou een aanvaller een verbinding met GitHub.com kunnen spoofen zodat gebruikers via Git-bestanden kunnen veranderen richting een nepserver.
GitHub geeft weinig details over wat er precies is gebeurd. Het platform zegt dat de privésleutel ‘een korte tijd’ openbaar staat in een openbare GitHub-repo. Het is niet bekend welke repo dat was en hoe lang de sleutel daar zichtbaar was. GitHub zegt dat er ‘geen reden is om te nemen dat de sleutel misbruikt wordt’. Inmiddels zou de sleutel zijn geroteerd. Het gaat alleen om de RSA ssh-sleutel. Ecdsa-gebruikers van Ed25519-hebben niet met de wijziging te maken, omdat die sleutels niet openbaar waren.
Gebruikers die een GitHub-repo hebben en die bijwerken via Git, moeten hun sleutels roteren en de vingerafdruk SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s
toevoegen aan hun hostfiles. Omdat GitHubs-sleutel is geroteerd, krijgen ssh-gebruikers automatisch een waarschuwing als ze een verbinding leggen waarin de sleutel is veranderd. GitHub heeft instructies online gezet waarin staat hoe het bekende_hosts-bestand kan worden aangepast.
credit :Source link