GitHub revocó claves SSH inseguras generadas por un cliente de git popular

Iniciado por AXCESS, Octubre 13, 2021, 12:17:14 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La plataforma de alojamiento de código GitHub ha revocado las claves de autenticación SSH débiles que se generaron a través del cliente GUI de GitKraken git debido a una vulnerabilidad en una biblioteca de terceros que aumentó la probabilidad de claves SSH duplicadas.

Como medida de precaución adicional, la compañía propiedad de Microsoft también dijo que está creando salvaguardas para evitar que las versiones vulnerables de GitKraken agreguen claves débiles recién generadas.

La dependencia problemática, denominada "keypair", es una biblioteca de generación de claves SSH de código abierto que permite a los usuarios crear claves RSA para fines relacionados con la autenticación. Se ha descubierto que afecta a las versiones 7.6.x, 7.7.xy 8.0.0 de GitKraken, lanzadas entre el 12 de mayo de 2021 y el 27 de septiembre de 2021.

La falla, rastreada como CVE-2021-41117 (puntaje CVSS: 8.7), se refiere a un error en el generador de números pseudoaleatorios utilizado por la biblioteca, lo que resulta en la creación de una forma más débil de claves SSH públicas que, debido a su la baja medida de la aleatoriedad, podría aumentar la probabilidad de duplicación de claves.

"Esto podría permitir a un atacante descifrar mensajes confidenciales u obtener acceso no autorizado a una cuenta que pertenece a la víctima", dijo el mantenedor del par de claves Julian Gruber en un aviso publicado el lunes. Desde entonces, el problema se ha abordado en la versión 1.0.4 del par de claves y la versión 8.0.1 de GitKraken.

El ingeniero de Axosoft, Dan Suceava, ha sido reconocido por descubrir la debilidad de la seguridad, mientras que el ingeniero de seguridad de GitHub, Kevin Jones, ha sido reconocido por identificar la causa y la ubicación del código fuente del error. Al momento de escribir este artículo, no hay evidencia de que la falla haya sido explotada en la naturaleza para comprometer las cuentas.

Se recomienda encarecidamente a los usuarios afectados que revisen y "eliminen todas las claves SSH antiguas generadas por GitKraken almacenadas localmente" y "generen nuevas claves SSH utilizando GitKraken 8.0.1, o posterior, para cada uno de sus proveedores de servicios Git", como GitHub, GitLab y Bitbucket, entre otros.

Actualización: junto con GitHub, Microsoft Azure DevOps, GitLab y Atlassian Bitbucket también han iniciado revocaciones masivas de claves SSH conectadas a cuentas donde se usó el cliente GitKraken para sincronizar el código fuente, instando a los usuarios a revocar las claves públicas SSH y generar nuevas claves usando la versión actualizada de la aplicación.

Fuente:
GitHub
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta