查看原文
其他

GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥

Catalin Cimpanu 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

应美国软件公司 Axosoft 公司的要求,当前最大的代码托管平台微软、GitHub、GitLab 和 BitBucket开始大规模批量撤销 SSH密钥,原因是 Axosoft 生产的热门 Git 软件客户端 GitKraken 版本 7.6.x、7.7.x和8.0.0使用了一个名为 “keypair” 的库生成 SSH 密钥,但由该库老旧版本生成低熵的 RSA 密钥在某些情况下可生成重复的 SSH 密钥。


Axosoft 公司解释称,GitKraken app 通过 “keypair” 库生成的 SSH 密钥可使开发人员将其 GitKraken app 连接到上述四大代码托管平台或者其它远程 Git 源代码托管服务器上的账户。

攻击者可利用重复的 SSH 密钥访问用户账户并窃取其专有源代码。

Axosoft 公司表示发现该问题后,在 GitKraken app 中替换了 keypair 库,发布在版本 8.0.1 中并通知了上述四大平台。

该公司发布博客文章后不久,Azure DevOps、GitHub、GitLab 和 Atlassian 公司的 BitBucket 平台开始撤销和使用 GitKraken app 同步源代码账户的所有SSH密钥。

四大代码托管平台目前要求用户使用不同的 Git 客户端或更新的 GitKraken app 生成新的 SSH 密钥。

Axosoft 公司和四大平台表示,截至目前尚未发现证据表明攻击者利用该漏洞攻陷账户。

另外,GitHub 还要求除 Git 客户端以外的其它软件应用的开发人员查看是否使用了易受攻击的 keypair 库,并做出相应的代码更新。本周一,keypair 库也收到了安全更新。








推荐阅读
Apache OpenOffice 漏洞使数千万用户易受代码执行攻击补丁打补丁:利用3个新漏洞绕过 LibreOffice 2个严重缺陷的补丁
LibreOffice 被曝漏洞,打开文档即导致电脑被黑Apache OpenOffice更新修复四个漏洞





原文链接

https://therecord.media/azure-github-gitlab-bitbucket-mass-revoke-ssh-keys-following-bug-report/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

创始人复盘:GitHub为什么能成功?
CISA:Sisense事件也影响关键基础设施,或引发供应链攻击
PyPI 恶意包假冒合法包,在PNG文件中隐藏后门
思科重大数据泄露,多家知名大厂数据已在暗网出售
供应链攻击滥用 GitHub 特性传播恶意软件

文章有问题?点此查看未经处理的缓存