in

GitHub revoca las claves de autenticación SSH duplicadas asociadas con un error de biblioteca


GitHub

GitHub ha revocado las claves de autenticación SSH débiles generadas con una biblioteca que creó incorrectamente pares de claves RSA duplicadas.

GitHub le permite autenticarse con su servicio sin un nombre de usuario y contraseña usando el protocolo SSH. Para hacer esto, los usuarios generan un par de claves SSH y agregan la clave pública a la configuración de la clave SSH de su cuenta.

Agregar una clave SSH a GitHub
Agregar una clave SSH a GitHub

Una vez que se haya agregado la clave a su cuenta, puede usarla con un cliente Git para iniciar sesión automáticamente en GitHub sin ingresar un nombre de usuario y contraseña.

GitHub revoca las claves SSH débiles

En una divulgación coordinada entre GitHub y Axosoft, LLC., Los creadores del popular cliente GitKraken Git, GitHub dijeron hoy que han revocado las claves SSH débiles generadas por la biblioteca de «pares de claves» utilizada por el software.

«Un problema subyacente con una dependencia, llamado keypair, hizo que el cliente de GitKraken generara claves SSH débiles. Este problema afectó a las versiones 7.6.x, 7.7.xy 8.0.0 del cliente de GitKraken, y puede leer la divulgación de GitKraken en su blog ”, anunció hoy GitHub en un nuevo aviso de seguridad.

Keypair es una biblioteca de JavaScript que permite la generación programática de claves SSH.

Un error en el generador de números pseudoaleatorios de la biblioteca permitió generar claves RSA duplicadas para que los usuarios puedan acceder a otras cuentas de GitHub protegidas con la misma clave SSH.

“Un error en el generador de números pseudoaleatorios utilizado por las versiones de pares de claves hasta la 1.0.3 inclusive podría permitir una generación de claves RSA débil. Esto podría permitir a un atacante descifrar mensajes confidenciales u obtener acceso autorizado a la cuenta de una víctima. Recomendamos reemplazar todas las claves RSA que se generaron con el par de claves de la versión 1.0.3 o anterior «, explica el servicio de asesoramiento de pares de claves.

El error fue descubierto por el ingeniero de Axosoft, Dan Suceava, «quien notó que los pares de claves generaban regularmente claves RSA duplicadas».

Para proteger a sus usuarios, GitHub revocó todas las claves generadas por GitKraken a las 5:00 PM UTC o 1:00 PM EST.

GitHub también ha revocado otras claves potencialmente débiles creadas por otros clientes con la misma biblioteca de pares de claves.

GitHub notificará a los usuarios cuyas claves hayan sido revocadas y les recomendará que revisen sus claves SSH y las reemplacen si la biblioteca vulnerable las generó.

Axosoft recomienda a los usuarios de su software que generen nuevas claves SSH con GitKraken 8.0.1 o superior para cada proveedor de servicios Git.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

¡Lucha contra el phish! – Pura seguridad

Un módulo de PowerShell que automatiza las tareas del equipo rojo para Ops On Objective