The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

GitHub поменял закрытый RSA-ключ для SSH после его попадания в публичный репозиторий

24.03.2023 22:29

GitHub сообщил об инциденте, в результате которого закрытый RSA-ключ, используемый в качестве хостового ключа при доступе к репозиториям GitHub по SSH, по ошибке оказался опубликован в публично доступном репозитории. Утечка коснулась только ключа RSA, хостовые SSH-ключи ECDSA и Ed25519 продолжают оставаться безопасными. Попавший в открытый доступ хостовый SSH-ключ не позволяет получить доступ к инфраструктуре GitHub или данным пользователей, но может использоваться для перехвата Git-операций, производимых через SSH.

Для исключения возможного перехвата сеансов SSH к GitHub в случае попадания RSA-ключа в руки злоумышленников, GitHub инициировал процесс замены ключа. На стороне пользователей требуется удаление старого открытого ключа GitHub (ssh-keygen -R github.com) или ручная замена ключа в файле ~/.ssh/known_hosts, что может нарушить работу автоматически выполняемых скриптов.

  1. Главная ссылка к новости (https://github.blog/2023-03-23...)
  2. OpenNews: GitHub устранил уязвимость, приводившую к подмене сеанса пользователя
  3. OpenNews: Уязвимость в GitHub Actions, допускающая подстановку команд
  4. OpenNews: Уязвимость, позволяющая осуществить подстановку SQL-кода в GitHub Enterprise
  5. OpenNews: Выявлена порция уязвимых SSH-ключей доступа к GitHub
  6. OpenNews: В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58858-github
Ключевые слова: github, ssh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:02, 24/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Сколько пайплайнов поломало интересно...
     
     
  • 2.3, Аноним (3), 23:08, 24/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    actions/checkout обновили сразу: https://github.com/actions/checkout/pull/1237
     
     
  • 3.61, cheburnator9000 (ok), 02:07, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У них что и серверный код в github actions выполняется на typescript(javascript)? А что например написать там на скажем я хз C++/Python/Go уже никак?
     
     
  • 4.67, Аноним (67), 11:51, 03/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас модно на ts/js
     
  • 2.47, Бывалый Смузихлёб (??), 15:03, 25/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да они и сами по себе от фазы луны ломаются
    имел дело с как минимум битрайсом и аппцентром
    И доходило до смешного, когда, в 8 из 10 случаев всё норм, но вот в 2 оставшемся - один и тот же коммит может не компилиться 1-2-3-4 раза, выдавая неведомые ошибки, а после - взять и норм скомпилиться
    И получалась неприятная ситуация, когда, вроде бы всё настроено и релиз вечером пятницы автоматический, а по факту - приходилось ждать несколько часов чтобы хреновина гарантировано всё собрала и выдала готовые сборки ведь она в среднем гораздо слабее компа для разработчика, с твердотельником, кучей ОЗУ и мощным ЦП. Ведь CI/CD же. Тамм, скрамы да адгилы опять же
     
     
  • 3.52, ivan_erohin (?), 14:27, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > релиз вечером пятницы автоматический

    если вам дороги жизнь и здравый рассудок, держитесь подальше от ИТ болот.
    там водятся такие баги и временные парадоксы, что понедельник может запросто начаться в субботу.

     
  • 3.58, Аноним (58), 18:14, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А где это "автоматические релизы" ставят?! Чейнж, релиз-инженер, QA - только так.
     
  • 2.50, Github (?), 17:10, 25/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    All your base are belongs to us.
     

  • 1.4, пох. (?), 23:20, 24/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    девляп-ляп-ляп-ляп-ляп.

    infrastructure as a cocococococode!

    все ключи от всего - вот они, кучкой.

     
     
  • 2.7, Аноним (7), 01:12, 25/03/2023 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Проморгать ключи может любой, а вот обновление колючей на инфраструктуре такого размера в такие сроки — только благодаря автоматизации. Ручным админам такое не снилось даже.
     
     
  • 3.55, Tron is Whistling (?), 15:42, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ручные админы тоже умеют автоматизировать процессы - внезапно.
    Вот только любой процесс такой важности ими пристально контролируется, в отличие от девтяпляпляп.
     
     
  • 4.56, пох. (?), 17:29, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    да ну, чего там контролировать. Ключи такого вот сорта у меня будут прибиты к образу гвоздиком.
    Они ж во-первых как раз принципиально не должны меняться, иначе все попереломается в ста тыщах мест, во-вторых должны быть в каждом инстансе идентичны, и в третьих в такой системе этих инстансов дофига и они должны новые создаваться вот прямо на лету. Я и вспоминать о них не буду. И ни в какой гитляп и шитхап (и даже в локальный svn с авторизацией и доступами только к части дерева) ключ никогда не попадет, потому что вне его.

    А если все же зачем-то поменяли и понадобится обновлять везде - то тут не наавтоматизируешься на самом деле. Потому что known_hosts реально бывает в совершенно бредовых локациях и заманаешься все искать.

    Опять же дзякую тоби Г-ди шо я не девляпс, и у меня число хостов - счетно, поэтому я могу их просто глобальным перебором найти все.
    Но в целом ситуация была бы так себе.

    Пока вроде никто не прибегал, поэтому я тихо надеюсь что у нас в конторе нет настолько долбанутой continuous desintegration чтоб еще и на гитхап завязаться. Теоретически, ИБ должна за это отводить на -3й этаж и там заполнять бетоном очередную выемку в полу. Практически, как обычно, на них мало надежды.

     
  • 4.59, Аноним (7), 20:39, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я эти сказки от ручных админов слышу регулярно. И про пристальный контроль, и про идеальную документацию, и про то, как всё под строгим контролем и учётом. Правда RTO почему-то у них в неделях измеряется, если не в месяцах. И bus-factor по факту 1, потому что идеальная документация не обновлялась уже год. Но это ж такие мелочи, бизнес подождёт месяц, авось не развалится.
     
     
  • 5.60, Tron is Whistling (?), 22:08, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Документация у них по крайней мере есть.
    А не так как у девляпсов - сунешься, а там кот вместо инфраструктуры, простите, конь, который не валялся, и CentOS 5 где-нибудь есть. Автоматизированный по самое не хочу, вот только обновлять его с самого инсталла и не думали.
     
  • 2.51, Аноним (51), 17:12, 25/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > infrastructure as a cocococococode!

    А что, они уже уволили вебманок в пользу chatgpt^W копилота?

     
     
  • 3.57, пох. (?), 17:30, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну здрасьте, а у кого он по-твоему учиться должен?

     
  • 2.65, rico (ok), 19:29, 27/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нахватался умных слов, но ещё не понял, что они значат?
     

  • 1.11, ivan_erohin (?), 04:48, 25/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    предполагаю сценарий такой:
    1) etckeeper
    2) git на локалхосте был обучен (как ? кем ? зачем ?) публиковать все создаваемые репозитории
     
     
  • 2.13, ivan_erohin (?), 04:53, 25/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    3) опубликовалось не туда.
    например потому что кто-то кому-то дал установки не через e-mail в виде пригодном для копипста,
    а через мессенджер с эмодзями или вообще голосом через квакающую ip телефонию.
     
     
  • 3.37, пох. (?), 08:47, 25/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > 3) опубликовалось не туда.

    туда, туда.
    Все ключи от всего должны быть кучкой сложены в одном и том же месте.

    Таков путь инфраструктуры-ass-эээ....коде. Как вот чисто технически ты будешь один и тот же каталог в /etc из двух разных мест собирать?

    Просто модный современный девляпс правил gitignore и забыл про какой-то там немодный и устаревший rsa. Надо будет в следующей версии вообще его запретить, и непременно из кода удалить вообще и из openssl тоже, чтоб луддиты не вернули как было, так и проблема решится.

     
     
  • 4.53, ivan_erohin (?), 14:31, 26/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Как вот чисто технически ты будешь один и тот же каталог в /etc из двух разных мест собирать?

    как обычно, методом проб и ошибок. внутрь черных ящиков не полезу,
    я не псих и не маньяк анализа кодовой базы.

     

  • 1.33, Аноним (-), 05:17, 25/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    хорошая попытка пересчитать активных юзверей:)
     
     
  • 2.66, Аноним (7), 04:19, 31/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А до этого они не могли посчитать активных юзверей, они напрямую через libastral репозитории качали.
     

  • 1.64, Аноним (64), 09:26, 27/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странно, что только RSA, ведь они лежат все в /etc/ssh. Видимо как-то по другому хранят. Поэтому очень интересует КАК они утекли?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру