Отдельные пользователи GitHub должны изменить код своего терминала
Отдельные пользователи GitHub должны изменить код своего терминала. Фото: СС0
Майк Хэнли, директор по безопасности и старший вице-президент по разработке в GitHub, заверил пользователей, что системы GitHub не были скомпрометированы, но ключ был раскрыт из-за «непреднамеренной публикации частной информации».
Из сообщения директора по безопасности и старшего вице-президенте по разработке в GitHub Майка Хэндли:
«Мы сделали это, чтобы защитить наших пользователей от любой возможности злоумышленника, выдающего себя за GitHub или подслушивающего их операции Git через SSH. Этот ключ не предоставляет доступ к инфраструктуре GitHub или данным клиентов. Это изменение влияет только на операции Git через SSH с использованием RSA. Веб-трафик на GitHub.com и операции HTTPS Git не затрагиваются».
Ключи Secure Shell (SSH) используются в протоколе SSH в качестве учетных данных для доступа. Это позволяет пользователям безопасно получать доступ к сетевым ресурсам, включая серверы, и использовать их, как если бы они были локальными машинами.
Ключи хоста уникальны для каждого клиента SSH, и если один из них был украден, а затем использован не по назначению, злоумышленники могут выполнить атаки «человек посередине» (MITM) для доступа к паролям пользователей или выполнения команд.
В GitHub сообщили, что был заменен только ключ RSA SSH , и пользователям, которые полагаются на ключи ECDSA или Ed25519, не нужно вносить никаких изменений.
Однако если пользователи GitHub, видят сообщение «ВНИМАНИЕ: ИДЕНТИФИКАЦИЯ УДАЛЕННОГО ХОСТА ИЗМЕНЕНА!» при подключении к GitHub.com через SSH придется внести некоторые изменения.
Пользователям необходимо удалить старый ключ SSH, выполнив команду:
«$ ssh-keygen -R github.com»
В качестве альтернативы они также могут обновить свой файл ~/.ssh/known_hosts вручную, чтобы избавиться от старого ключа, и добавить новый, вставив новую строку, которую можно найти в сообщении в блоге компании.
Другой метод, который могут использовать пользователи, — это автоматическое обновление ключа в их ~/.ssh/known_hosts путем запуска определенного кода в своем терминале, который также можно найти в упоминающемся выше сообщении.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было