Из-за бага в Git-клиенте GitKraken разработчики Microsoft, GitHub, GitLab и BitBucket вынуждены массово отозвать ключи SSH, которые оказались ненадежными.
Массовый отзыв ключей начался по просьбе разработчиков из компании Axosoft, которая создала GitKraken. Дело в том, что специалисты обнаружили серьезный недочет в своем клиенте: GitKraken версий 7.6.x, 7.7.x и 8.0.0 использовал библиотеку keypair для генерации ключей SSH, чтобы пользователи могли подключить свое приложение GitKraken к учетным записям Azure DevOps, GitHub, GitLab, BitBucket и так далее.
Выяснилось, что из-за ошибки в генераторе псевдослучайных чисел старые версии этой библиотеки генерировали ключи RSA с низкой энтропией, а значит, при определенных условиях, злоумышленники могли использовать библиотеку для генерации дубликатов ключей SSH. Такие ключи могли помочь получить доступ к учетной записи другого пользователя и похитить исходные коды.
Специалисты Axosoft сообщают, что, узнав о проблеме, они немедленно заменили библиотеку keypair в GitKraken и выпустили версию 8.0.1, уведомив о баге все крупные платформы, чьи пользователи оказались в зоне риска. Подчеркивается, что пока не обнаружено никаких доказательств того, что злоумышленники уже использовали эту ошибку для взлома учетных записей.
Теперь разработчики Azure DevOps , GitHub, GitLab и BitBucket просят пользователей сгенерировать новые ключи SSH, используя для этого другой Git-клиент или новую версию GitKraken.
GitHub также просит разработчиков других приложений (не только клиентов Git), проверить, используют ли они уязвимую библиотеку keypair в своих продуктах, и соответствующим образом обновить свой код: патч для keypair уже представлен.