Efter ett fel på GitKraken återkallar GitHub, GitLab och BitBucket-plattformarna SSH-nycklar massivt

Viktigt för utvecklare, de mest populära kodvärdarna återkallar SSH-nycklar massivt.

Felet i ett fel upptäckt på GitKraken som fick Axosoft att varna andra plattformar för en sårbarhet kring dess SSH-autentiseringsnycklar.

En sårbarhet i GitKrakens SSH-nycklar

Sedan början av veckan har Microsoft, GitHub, GitLab och BitBucket, fyra av de största kodvärdarna, startat en massåterkallelse av SSH-nycklar. Ett tillvägagångssätt initierat på begäran av Axosoft, som identifierade ett säkerhetsfel för versionerna 7.6.x, 7.7.x och 8.0.0 av sin egen GitKraken-mjukvara. I ett blogginlägg varnade utvecklaren omedelbart andra sajter där ett konto på dess plattform kan synkroniseras.

Konkret, under vissa förhållanden kan denna sårbarhet tillåta angripare att attackera tredjepartsbiblioteket som används för att duplicera svaga SSH-nycklar som genereras av dessa äldre versioner av GitKraken. En manöver som skulle kunna ge dem tillgång till berörda användarkonton för att stjäla deras källkoder, men varken Axosoft eller de fyra plattformarna har upptäckt en attack efter detta fel, åtminstone för tillfället.

Berörda individer kontaktades inom 24 timmar efter varningen, men Microsoft, GitHub, GitLab och BitBucket rekommenderar fortfarande att deras användare genererar nya SSH-nycklar med en annan Git-klient eller genom den uppdaterade versionen av GitKraken.

Källa: Axosoft