-
Các mối đe dọa trực tuyến tại Việt Nam giảm mạnh t...
-
Kaspersky ra mắt nền tảng XDR chống lại tấn công r...
-
Ransomware là mối đe dọa hàng đầu đối với doanh ng...
-
Thông báo thời gian kỳ nghỉ công ty năm 2023
-
Thông báo danh sách người trúng thưởng chương trìn...
-
NTS tiếp sức đến trường mang yêu thương đến học si...
GitHub thu hồi các khóa xác thực SSH có mức độ bảo mật kém
Nền tảng lưu trữ mã nguồn GitHub đã thu hồi các khóa xác thực SSH yếu do phần mềm quản lý mã nguồn GitKraken git GUI client tạo ra thông qua một lỗ hổng trong thư viện bên thứ ba làm tăng khả năng xuất hiện các khóa xác thực SSH trùng lặp.
Để tăng biện pháp đề phòng, công ty do Microsoft sở hữu cũng cho biết họ đang xây dựng hàng rào phòng vệ để ngăn chặn sự gia tăng các SSH yếu do các phiên bản bảo mật kém của phần mềm quản lý mã nguồn GitKraken gần đây tạo ra.
Dependency gây ra vấn đề (gọi là “keypair”) là một thư viện tạo khóa SSH nguồn mở cho phép người dùng tạo ra các khóa mã hóa bất đối xứng (RSA keys) cho các mục đích liên quan đến xác thực. Nó bị phát hiện đã ảnh hưởng đến các phiên bản GitKraken 7.6.x, 7.7.x và 8.0.0, được phát hành từ ngày 12/5/2021 đến ngày 27/9/2021.
Lỗ hổng bảo mật có định danh CVE-2021-41117 (Điểm CVSS: 8,7) – liên quan đến bug trong quá trình tạo số giả ngẫu nhiên được thư viện khai thác dẫn đến việc hình thành một dạng khóa xác thực SSH yếu hơn do số đo mức độ ngẫu nhiên (entropy) thấp- có thế làm tăng xác suất trùng lặp khóa.
Trong một tư vấn bảo mật được công bố ngày 11/10, thành viên của đội ngũ phát triển thư viện keypair, Julian Gruber cho biết: “Điều này có thể giúp kẻ tấn công giải được mã của các tin nhắn bảo mật hoặc truy cập không xác thực vào tài khoản của nạn nhân.” Vấn đề này đã được xử lý trong thư viện keypair phiên bản 1.0.4 và GitKraken phiên bản 8.0.1
Kỹ sư của công ty công nghệ Axosoft, Dan Suceave đã phát hiện được lỗ hổng bảo mật trong khi đó kỹ sư an toàn thông tin của GitHub, Kevin Jones đã thực hiện nhiệm vụ xác nhận nguyên nhân và vị trí mã nguồn của bug. Vào thời điểm đó, không có bằng chứng nào cho thấy lỗ hổng bị khai thác trên diện rộng để xâm phạm các tài khoản.
Những nạn nhân được khuyến nghị nên xét duyệt và xóa bỏ “tất cả các khóa xác thực SSH cũ được lưu trữ cục bộ của GitKraken”, đồng thời “tạo ra các khóa xác thực SSH mới bằng phiên bản GitKraken 8.0.1 trở lên cho từng nhà cung cấp dịch vụ Git của họ” chẳng hạn như GitHub, GitLab, và Bitbucket.
Cập nhật: Cùng với GitHub, Microsoft Azure DevOps, GitLab và Atlassian Bitbucket cũng đã bắt đầu thu hồi hàng loạt các khóa xác thực SSH liên kết với những tài khoản được GitKraken client dùng để đồng bộ hóa mã nguồn, đồng thời buộc người dùng thu hồi các public key xác thực và tạo ra các khóa mới bằng bản cập nhật phần mềm.
Theo The Hacker News
TIN CÙNG CHUYÊN MỤC
Các mối đe dọa trực tuyến tại Việt Nam g...
Kaspersky ra mắt nền tảng XDR chống lại ...
Ransomware là mối đe dọa hàng đầu đối vớ...
Sự sơ suất của nhân viên đáng lo ngại kh...
Người máy cũng bị sa thải hàng loạt theo...
Kaspersky tiết lộ các thuật ngữ an ninh ...
-
Kaspersky tiết lộ các thuật ngữ an ninh mạng cơ bả...
-
Thông báo danh sách người trúng thưởng chương trìn...
-
Sự sơ suất của nhân viên đáng lo ngại không kém rò...
-
Người máy cũng bị sa thải hàng loạt theo xu hướng ...
-
Windows 11 được Microsoft mời gọi cập nhật trên cá...
-
NTS tiếp sức đến trường mang yêu thương đến học si...
-
Các mối đe dọa trực tuyến tại Việt Nam giảm mạnh t...
-
Kaspersky ra mắt nền tảng XDR chống lại tấn công r...
-
Ransomware là mối đe dọa hàng đầu đối với doanh ng...
-
Thông báo thời gian kỳ nghỉ công ty năm 2023
-
Thông báo danh sách người trúng thưởng chương trìn...
-
NTS tiếp sức đến trường mang yêu thương đến học si...
TAGS
LIÊN HỆ
