GitHub, Git İşlemlerini Korumak İçin Açığa Çıkan RSA SSH Anahtarını Hızla Değiştiriyor


24 Mart 2023Ravie LakshmananBulut Güvenliği / Programlama

GitHub

Bulut tabanlı depo barındırma hizmeti GitHub, Git operasyonlarını güvence altına almak için kullanılan RSA SSH ana bilgisayar anahtarını, kamuya açık bir depoda kısa bir süre açığa çıktıktan sonra “çok fazla ihtiyat nedeniyle” değiştirme adımını attığını söyledi.

24 Mart 2023 saat 05:00 UTC’de gerçekleştirilen etkinliğin, herhangi bir kötü niyetli kişinin hizmeti taklit etmesini veya kullanıcıların SSH üzerinden yaptığı işlemleri dinlemesini engellemek için bir önlem olarak yapıldığı söyleniyor.

GitHub baş güvenlik görevlisi ve mühendislikten sorumlu Kıdemli Başkan Yardımcısı Mike Hanley bir gönderide “Bu anahtar GitHub’ın altyapısına veya müşteri verilerine erişim izni vermiyor” dedi. “Bu değişiklik, yalnızca RSA kullanan SSH üzerinden Git işlemlerini etkiler.”

Taşıma, GitHub.com’a giden Web trafiğini ve HTTPS aracılığıyla gerçekleştirilen Git işlemlerini etkilemez. ECDSA veya Ed25519 kullanıcıları için değişiklik gerekmez.

Microsoft’a ait şirket, açığa çıkan SSH özel anahtarının düşmanlar tarafından kullanıldığına dair hiçbir kanıt olmadığını söyledi.

Ayrıca, “sorunun herhangi bir GitHub sisteminden veya müşteri bilgisinden ödün verilmesinden kaynaklanmadığını” vurguladı. Bunu “özel bilgilerin yanlışlıkla yayınlanmasından” sorumlu tuttu.

Ayrıca, GitHub Actions kullanıcılarının, ssh-key seçeneğiyle action/checkout kullanıyorlarsa başarısız iş akışı çalıştırmalarını görebileceklerini ve tüm etiketlerde eylemi güncelleme sürecinde olduğunu ekledi.

WEBİNAR

Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin

Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.

KOLTUĞUNUZU AYIRTIN

Açıklama, GitHub’ın, bilinmeyen tehdit aktörlerinin Mac için GitHub Desktop ve Atom uygulamalarının bazı sürümlerine ait şifreli kod imzalama sertifikalarını ele geçirmeyi başardığını açıklamasından yaklaşık iki ay sonra geldi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link