Новости

GitHub отозвал SSH-ключи, по ошибке сдублированные клиентом GitKraken

14 октября, 2021. 08:10
В сторонней библиотеке, используемой приложением GitKraken, выявлена уязвимость, повышающая вероятность дублирования ключей SSH, которые пользователи создают для беспарольной авторизации на GitHub и других схожих сервисах.

Соответствующие патчи уже вышли, юзерам советуют проверить наличные криптоключи на надежность и произвести обновление Git-клиента.

Уязвимость, о которой идет речь, обнаружили в конце прошлого месяца разработчики из компании Axosoft — создателя популярной программы GitKraken. Как оказалось, используемая этим клиентом JavaScript-библиотека keypair генерирует слабые ключи RSA: пары могут повторяться у разных пользователей.

Подобный недочет позволяет злоумышленнику расшифровать конфиденциальные сообщения, а также получить доступ к чужому аккаунту.

ЧИТАТЬ МАТЕРИАЛ
Комментарии: