GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
编译:代码卫士
Axosoft 公司解释称,GitKraken app 通过 “keypair” 库生成的 SSH 密钥可使开发人员将其 GitKraken app 连接到上述四大代码托管平台或者其它远程 Git 源代码托管服务器上的账户。
攻击者可利用重复的 SSH 密钥访问用户账户并窃取其专有源代码。
Axosoft 公司表示发现该问题后,在 GitKraken app 中替换了 keypair 库,发布在版本 8.0.1 中并通知了上述四大平台。
该公司发布博客文章后不久,Azure DevOps、GitHub、GitLab 和 Atlassian 公司的 BitBucket 平台开始撤销和使用 GitKraken app 同步源代码账户的所有SSH密钥。
四大代码托管平台目前要求用户使用不同的 Git 客户端或更新的 GitKraken app 生成新的 SSH 密钥。
Axosoft 公司和四大平台表示,截至目前尚未发现证据表明攻击者利用该漏洞攻陷账户。
另外,GitHub 还要求除 Git 客户端以外的其它软件应用的开发人员查看是否使用了易受攻击的 keypair 库,并做出相应的代码更新。本周一,keypair 库也收到了安全更新。
LibreOffice 被曝漏洞,打开文档即导致电脑被黑Apache OpenOffice更新修复四个漏洞
https://therecord.media/azure-github-gitlab-bitbucket-mass-revoke-ssh-keys-following-bug-report/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。