Bulut tabanlı depo barındırma hizmeti GitHub, Git operasyonlarını güvence altına almak için kullanılan RSA SSH ana bilgisayar anahtarını, kamuya açık bir depoda kısa bir süre açığa çıktıktan sonra “çok fazla ihtiyat nedeniyle” değiştirme adımını attığını söyledi.
24 Mart 2023 saat 05:00 UTC’de gerçekleştirilen etkinliğin, herhangi bir kötü niyetli kişinin hizmeti taklit etmesini veya kullanıcıların SSH üzerinden yaptığı işlemleri dinlemesini engellemek için bir önlem olarak yapıldığı söyleniyor.
GitHub baş güvenlik görevlisi ve mühendislikten sorumlu Kıdemli Başkan Yardımcısı Mike Hanley bir gönderide “Bu anahtar GitHub’ın altyapısına veya müşteri verilerine erişim izni vermiyor” dedi. “Bu değişiklik, yalnızca RSA kullanan SSH üzerinden Git işlemlerini etkiler.”
Taşıma, GitHub.com’a giden Web trafiğini ve HTTPS aracılığıyla gerçekleştirilen Git işlemlerini etkilemez. ECDSA veya Ed25519 kullanıcıları için değişiklik gerekmez.
Microsoft’a ait şirket, açığa çıkan SSH özel anahtarının düşmanlar tarafından kullanıldığına dair hiçbir kanıt olmadığını söyledi.
Ayrıca, “sorunun herhangi bir GitHub sisteminden veya müşteri bilgisinden ödün verilmesinden kaynaklanmadığını” vurguladı. Bunu “özel bilgilerin yanlışlıkla yayınlanmasından” sorumlu tuttu.
Ayrıca, GitHub Actions kullanıcılarının, ssh-key seçeneğiyle action/checkout kullanıyorlarsa başarısız iş akışı çalıştırmalarını görebileceklerini ve tüm etiketlerde eylemi güncelleme sürecinde olduğunu ekledi.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Açıklama, GitHub’ın, bilinmeyen tehdit aktörlerinin Mac için GitHub Desktop ve Atom uygulamalarının bazı sürümlerine ait şifreli kod imzalama sertifikalarını ele geçirmeyi başardığını açıklamasından yaklaşık iki ay sonra geldi.