Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

GitHub udostępnił przypadkiem swój klucz prywatny RSA w publicznym repozytorium na GitHubie

24 marca 2023, 11:49 | W biegu | komentarzy 9

O problemie donosi sam GitHub:

This week, we discovered that GitHub.com’s RSA SSH private key was briefly exposed in a public GitHub repository.

Jak widać chodzi o klucz prywatny SSH, a GitHub precyzuje dalej co może być zagrożone (tj. dostęp klientów do GitHuba po SSH):

we replaced our RSA SSH host key used to secure Git operations for GitHub.com. We did this to protect our users from any chance of an adversary impersonating GitHub or eavesdropping on their Git operations over SSH. This key does not grant access to GitHub’s infrastructure or customer data. This change only impacts Git operations over SSH using RSA. Web traffic to GitHub.com and HTTPS Git operations are not affected.

W każdym razie gdybyście zobaczyli po połączeniu do GitHuba (z wykorzystaniem SSH) taki komunikat:

… to nie należy go ignorować, bo może rzeczywiście ktoś robi 'something nasty’, chociaż bardziej prawdopodobnie że natknęliście się na problem opisywany w tym newsie (GitHub zmienił klucz) – więcej szczegółów odnośnie postępowania w takiej sytuacji – tutaj.

GitHub zaznacza jednocześnie, że jak na razie nie ma dowodów aby ktoś wykorzystał wycieknięty klucz w niecnych celach.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marek

    Czasem błędy się zdarzają

    Odpowiedz
    • az

      To jakaś prowokacja, taka ekspertka jak Paula Januszkiewicz na pewno by nie przeoczyła takiej podatności.

      Odpowiedz
    • Imię

      W tym co Micro$oft posiada

      Odpowiedz
      • Ktoś

        Głupcy klucze ujawniają

        Odpowiedz
  2. Daniel

    Coś dziwnego się też dzieje z certami na niektórych ich domenach. Na przykład docs.github.com, avatars.githubusercontent.com mają w tej chwili cert wystawiony na *.githubassets.com.

    Odpowiedz
  3. P

    Helm charty rowniez maja bledny certyfikat:

    error: code = Unknown desc = failed to pull and unpack image „ghcr.io/kedacore/keda:2.10.0”: failed to copy: httpReadSee │
    │ ker: failed open: failed to do request: Get „https://pkg-containers.githubusercontent.com/ghcr1/blobs/sha256:50368130c08 │
    │ 76c7d1201362caadea9003603b02c2012f0295bf90c1d003668c2?se=2023-03-24T20%3A50%3A00Z&sig=B7BYVex5QfU71aPSg0EG6ax3YfVhbqLfT8 │
    │ lsTJJoJpg%3D&sp=r&spr=https&sr=b&sv=2019-12-12”: x509: certificate is valid for *.githubassets.com, githubassets.com, no │
    │ t pkg-containers.githubusercontent.com

    Odpowiedz
  4. Yeti

    Wręcz przeciwnie – jeśli tego komunikatu nie będzie, to oznacza to, że serwer używa upublicznionego klucza prywatnego. A wiemy, że na prawdziwych serwerach GitHub-a ten klucz już nie działa…

    Odpowiedz
  5. Szymon

    Można zrobić wyciek lewego klucza żeby zająć hakerów na jakiś czas i zobaczyć jakie jest zainteresowanie. Takiej akcji nie powstydziłby się sam J23.

    Odpowiedz
  6. Miltech

    Pamiętam podobną akcje. Było coś że serwer z wewnętrznej sieci jest dostępny publicznie i można pobrać dane. Jak sie później okazało była to część operacji mającej na celu zwabienie krakerów do honeypota 🤣

    Odpowiedz

Odpowiedz