聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
RSA SSH密钥替换在UTC(协调世界时)时间2023年3月24日凌晨5点进行,目的是阻止而已人员模拟该服务或者窃听用户通过SSH执行的操作。
GitHub 的首席安全官兼工程高级副总裁 Mike Hanley 指出,“该密钥并无法提供对GitHub 基础设施或客户数据的访问权限。这一变更仅影响使用RSA 经由SSH 的Git 操作。”这一变更并不影响GitHub.com的web流量以及通过HTTPS执行的Git操作。ECDSA或Ed25519用户无需执行任何变更。
GitHub 公司指出,并无证据表明被泄露的SSH密钥遭利用。该公司未说明机密信息遭暴露的时长。该公司强调称,“问题并未由GitHub 系统或客户信息遭攻陷引起“,而是归咎于 ”无意的私密信息发布“。
GitHub 还提醒 GitHub Actions 用户称,如果使用actions/checkout 和ssh-key 选项,则可能发生工作流运行失败的情况,该公司表示目前正在更新所有标记中的这一操作。
就在近两个月前,GitHub 披露称未知威胁行动者设法提取了Mac 版本的GitHub Desktop和 Atom 应用的加密的代码签名证书。
https://thehackernews.com/2023/03/github-swiftly-replaces-exposed-rsa-ssh.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~