GitHub撤销了流行git客户端生成的不安全SSH密钥

代码托管平台GitHub已撤销通过GitKraken git GUI客户端生成的弱SSH身份验证密钥，原因是第三方库中存在一个漏洞，该漏洞增加了复制SSH密钥的可能性。

作为一项额外的预防措施，这家微软所有的公司还表示，它正在建立保护措施，防止易受攻击的GitKraken版本添加新生成的弱密钥。

有问题的依赖关系称为“密钥对”，是一个开源SSH密钥生成库，允许用户创建RSA密钥以用于与身份验证相关的目的。已经发现它会影响GitKraken 7.6版。x、 7.7。x，和0.0.0，在2021年5月12日和2021年9月27日之间发布。

缺陷&mdash；跟踪为CVE-2021-41117（CVSS分数：8.7）和mdash；涉及库使用的伪随机数生成器中的一个错误，导致创建较弱形式的公共SSH密钥，这是由于它们的低熵&mdash；i、 e.随机性的衡量标准&mdash；可能会提高密钥复制的概率。

密钥对的维护者朱利安·格鲁伯（Julian Gruber）在周一发布的一份建议中说：“这可能会使攻击者解密机密消息，或未经授权访问受害者的帐户。”。这个问题已经在密钥对版本1.0.4和GitKraken版本8.0.1中得到了解决。

Axosoft工程师Dan Suceava发现了安全漏洞，而GitHub安全工程师Kevin Jones确认了漏洞的原因和源代码位置。截至撰写本文时，没有证据表明该漏洞是在野外被利用来破坏账户的。

强烈建议受影响的用户查看并“删除本地存储的所有旧GitKraken生成的SSH密钥”，以及“使用GitKraken 8.0.1或更高版本为每个Git服务提供商生成新的SSH密钥”，例如GitHub、GitLab和Bitbucket等。

更新：除了GitHub，Microsoft Azure DevOps、GitLab和Atlassian Bitbucket还启动了连接到GitKraken客户端用于同步源代码的帐户的SSH密钥的大规模撤销，敦促用户撤销SSH公钥，并使用应用程序的更新版本生成新密钥。