GitHub меняет ключ RSA SSH, так как он случайно попал в открытый доступ

Рекомендуем почитать:

Xakep #303. Свой Arch Linux

Разработчики GitHub сообщили, что заменили приватный ключ RSA SSH, используемый для защиты Git-операций. В компании уверяют, что это лишь мера предосторожности, но замена понадобилась в силу того, что прошлый ключ был случайно опубликован в общедоступном репозитории.

В блоге представители GitHub признают, что на прошлой неделе выяснилось, что закрытый ключ RSA SSH для GitHub.com был ненадолго раскрыт в общедоступном репозитории.

«Мы немедленно приняли меры по сдерживанию распространения и начали расследование, чтобы понять первопричину [утечки] и ее последствия», — пишет Майк Хэнли, глава безопасности GitHub и старший вице-президент по инженерным вопросам.

Однако в компании не сообщают, когда именно ключ был раскрыт? и как долго он находится в открытом доступе. При этом GitHub уверяет, что «нет никаких оснований полагать», что раскрытым ключом злоупотребляли, подчеркивая, что все это лишь мера предосторожности.

Из-за замены ключа пользователи могут столкнуться с сообщением, приведенным ниже.

@@@@@@@@@@@@@@@@@@@@@@

@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @

@@@@@@@@@@@@@@@@@@@@@@

IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!

Someone could be eavesdropping on you right now (man-in-the-middle attack)!

It is also possible that a host key has just been changed.

The fingerprint for the RSA key sent by the remote host is

SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s.

Please contact your system administrator.

Add correct host key in ~/.ssh/known_hosts to get rid of this message.

Host key for github.com has changed and you have requested strict checking.

Host key verification failed.

Разработчики говорят, что в этом случае нужно удалить старый ключ, выполнив команду $ ssh-keygen -R github.com или вручную обновить файл ~/.ssh/known_hosts, чтобы удалить старую запись.

Актуальные отпечатки ключей GitHub перечислены ниже.

SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s (RSA);
SHA256:br9IjFspm1vxR3iA35FWE+4VTyz1hYVLIE2t1/CeyWQ (DSA — не рекомендуется);
SHA256:p2QAMXNIC1TJYWeIOttrVc98/R1BUFWu3/LiyKgUfQM (ECDSA);
SHA256:+DiY3wvvV6TuJJhbpZisF/zLDA0zPMSvHdkr4UvCOqU (Ed25519).

GitHub меняет ключ RSA SSH, так как он случайно попал в открытый доступ

Xakep #303. Свой Arch Linux

Подпишись на наc в Telegram!

Из рубрики «Взлом»

Acunetix WVS. Ищем уязвимости в веб-приложениях на автомате

В поисках секретов. Используем силу регулярок при атаке и защите

Охота на крысу. Дмитрий Борощук о поиске утечек информации и сборе улик

HTB SolarLab. Повышаем привилегии через сервис OpenFire

Трюки

Не тапай хомяка! Как я автоматизировал игру Hamster Kombat

Кастомный Arch. Создаем образы Arch Linux для десктопа и Raspberry Pi

Диета для Arch Linux. Запускаем Arch на компьютерах с малым объемом памяти

Карманный Arch. Делаем флешку с живым образом Arch Linux

Последние новости

Разработчики Tails и Tor Project решили объединить усилия

Google старается сохранить бесплатные сервисы доступными в России

Уязвимости CUPS позволяют выполнить произвольный код в Linux

Автомобили Kia можно было взломать удаленно, зная номерной знак

Новая книга нашего автора: «Сети глазами хакера»