24 Mart 2023Ravie LakshmananBulut Güvenliği / Programlama

Bulut tabanlı depo barındırma hizmeti GitHub, Git operasyonlarını güvence altına almak için kullanılan RSA SSH ana bilgisayar anahtarını, kamuya açık bir depoda kısa bir süre açığa çıktıktan sonra “çok fazla ihtiyat nedeniyle” değiştirme adımını attığını söyledi.

24 Mart 2023 saat 05:00 UTC’de gerçekleştirilen etkinliğin, herhangi bir kötü niyetli kişinin hizmeti taklit etmesini veya kullanıcıların SSH üzerinden yaptığı işlemleri dinlemesini engellemek için bir önlem olarak yapıldığı söyleniyor.

GitHub Baş Güvenlik Sorumlusu ve Mühendislikten Sorumlu Kıdemli Başkan Yardımcısı Mike Hanley, “Bu anahtar GitHub’ın altyapısına veya müşteri verilerine erişim izni vermiyor,” dedi. söz konusu bir gönderide. “Bu değişiklik, yalnızca RSA kullanan SSH üzerinden Git işlemlerini etkiler.”

Taşıma, GitHub.com’a giden Web trafiğini ve HTTPS aracılığıyla gerçekleştirilen Git işlemlerini etkilemez. ECDSA veya Ed25519 kullanıcıları için değişiklik gerekmez.

Microsoft’a ait şirket, açığa çıkan SSH özel anahtarının düşmanlar tarafından kullanıldığına dair hiçbir kanıt olmadığını söyledi. Sırrın ne kadar süreyle açığa çıktığı açıklanmadı.

Ayrıca, “sorunun herhangi bir GitHub sisteminden veya müşteri bilgisinden ödün verilmesinden kaynaklanmadığını” vurguladı. Bunu “özel bilgilerin yanlışlıkla yayınlanmasından” sorumlu tuttu.

Ayrıca, GitHub Actions kullanıcılarının, kullanıyorlarsa başarısız iş akışı çalıştırmalarını görebileceklerini de belirtti. işlemler/ödeme ssh-key seçeneğiyle, eylemi tüm etiketlerde güncelleme sürecinde olduğunu ekliyor.

WEBİNAR

Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin

Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.

KOLTUĞUNUZU AYIRTIN

Açıklama, GitHub’ın, bilinmeyen tehdit aktörlerinin Mac için GitHub Desktop ve Atom uygulamalarının bazı sürümlerine ait şifreli kod imzalama sertifikalarını ele geçirmeyi başardığını açıklamasından yaklaşık iki ay sonra geldi.



siber-2