Microsoft, GitHub, GitLab и BitBucket массово отзывают SSH-ключи

Microsoft, GitHub, GitLab и BitBucket, являющиеся одними из крупнейших на сегодняшний день порталов для хостинга кода, инициировали массовый отзыв SSH-ключей. Отзыв начался во вторник, 12 октября, после того, как стало известно об уязвимости в популярном программном Git-клиенте GitKraken.

Уязвимость была обнаружена самим производителем GitKraken, аризонской компанией Axosoft. Как сообщается в ее блоге, версии клиента 7.6.x, 7.7.x и 8.0.0 использовали библиотеку keypair для генерирования SSH-ключей, позволяющих разработчикам подключать свои приложения GitKraken к учетным записям на Azure DevOps, GitHub, GitLab, BitBucket и других удаленных хостингах исходного кода.

Как пояснили в Axosoft, более старые версии библиотеки генерировали RSA-ключи с низкой энтропией, а значит, злоумышленники потенциально могли воспользоваться ею при определенных условиях для создания дубликатов SSH-ключей. С помощью этих дубликатов они могли получить доступ к учетным записям пользователей и похитить проприетарный исходный код.