GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
应美国软件公司 Axosoft 公司的要求,当前最大的代码托管平台微软、GitHub、GitLab 和 BitBucket开始大规模批量撤销 SSH密钥,原因是 Axosoft 生产的热门 Git 软件客户端 GitKraken 版本 7.6.x、7.7.x和8.0.0使用了一个名为 “keypair” 的库生成 SSH 密钥,但由该库老旧版本生成低熵的 RSA 密钥在某些情况下可生成重复的 SSH 密钥。
Axosoft 公司解释称,GitKraken app 通过 “keypair” 库生成的 SSH 密钥可使开发人员将其 GitKraken app 连接到上述四大代码托管平台或者其它远程 Git 源代码托管服务器上的账户。
攻击者可利用重复的 SSH 密钥访问用户账户并窃取其专有源代码。
Axosoft 公司表示发现该问题后,在 GitKraken app 中替换了 keypair 库,发布在版本 8.0.1 中并通知了上述四大平台。
该公司发布博客文章后不久,Azure DevOps、GitHub、GitLab 和 Atlassian 公司的 BitBucket 平台开始撤销和使用 GitKraken app 同步源代码账户的所有SSH密钥。
四大代码托管平台目前要求用户使用不同的 Git 客户端或更新的 GitKraken app 生成新的 SSH 密钥。
Axosoft 公司和四大平台表示,截至目前尚未发现证据表明攻击者利用该漏洞攻陷账户。
另外,GitHub 还要求除 Git 客户端以外的其它软件应用的开发人员查看是否使用了易受攻击的 keypair 库,并做出相应的代码更新。本周一,keypair 库也收到了安全更新。
推荐阅读
Apache OpenOffice 漏洞使数千万用户易受代码执行攻击
补丁打补丁:利用3个新漏洞绕过 LibreOffice 2个严重缺陷的补丁
LibreOffice 被曝漏洞,打开文档即导致电脑被黑
Apache OpenOffice更新修复四个漏洞
原文链接
https://therecord.media/azure-github-gitlab-bitbucket-mass-revoke-ssh-keys-following-bug-report/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥相关推荐
- 用开源github,还是咱中国自己的代码托管平台云效?
GitHub 作为一个源代码托管平台,将全球的开发者连接在了一起,对个人开发者很友好,但近期,GitHub 的一些事件在开源圈内引发了热议,中立性受到质疑,也引发了大家对于开源的思考.GitHub跟开 ...
- 基于git和svn的开源代码托管平台
文章目录 1.基于Git在线托管平台 GitHub & Bitbucket & GitLab & Coding 的对比分析 基本特征 哪个是开源的服务或产品 开源与协作,谁是最 ...
- 揭秘码云:全球第二大代码托管平台的核心架构
嘉宾介绍 周凯,现任码云(https://gitee.com)负责人,负责码云相关的产品.开发.运维以及大客户服务等业务:擅长Ruby.Linux及DevOps:为招商银行.招商证券.比亚迪等企业提供 ...
- GitLab 项目管理和代码托管平台
GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务. 理论 关于Git这一篇就够了 Gitlab作为一个开源项目开始帮助团队在团建开发上进行合 ...
- 国内外第三方代码托管平台(2019最新整理)
转载自: https://blog.csdn.net/lrcoop/article/details/88599487 国外 GitHub GitHub的Logo是一只有趣的章鱼猫:Octoca ...
- 阿里云代码托管平台,不限容量,免费使用
阿里云代码托管平台,不限容量,免费使用,相比开源自建,阿里云 云效代码托管更(安全.稳定.高效)是适合企业的代码管理平台,阿里云代码托管平台Codeup,10 万企业都在用的代码管理平台,提供代码托管 ...
- 一个代码托管平台居然公开拒招中国人,谁给了你歧视中国程序员的勇气?
今天,有不少人吃了一个"代码界"的瓜. 由谷歌投资的全球第二大开源代码托管平台GitLab(第一大是GitHub)在其官网上发布了一项声明,称他们决定为有权访问客户数据的团队成员启 ...
- 华为Mate Xs预约超53万,售价16999元;微软前工程师因盗窃数字货币被判20年;FSF将推代码托管平台 | 极客头条...
整理 | 郭芮 快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注 ...
- 相较国外代码托管平台 gitlab,咱们中国自己的代码托管平台有哪些优势?
相较国外代码托管平台gitlab,咱们中国自己的代码托管平台有哪些优势?没有对比就没有伤害,相较于国外的gitlab,大家平时也接触Github.Gitee 这些开源场景的代码托管平台,他们对个人开发 ...
最新文章
- RDKit | 统计分子库中某种元素出现的次数
- 评估指标:ROC,AUC,Precision、Recall、F1-score
- Java Base64 编码解码方案总结
- Spring Cloud教程– Spring Cloud Config Server简介
- ajax下拉框省市级联动
- jquery ztree 设置勾选_047 JAVA-jQuery
- Python3.8 安装gmpy2 教程, 无法安装gmpy2解决方案
- doT js模板入门
- IDEA给项目添加lib/jar
- java 1.6 jre 下载_jre1.6下载-Java环境 官方版 - 安下载
- python安装opencv出现错误_通过pip安装opencv时出错
- 2021上半年软考中级软件设计师考试心得(10天时间你可以拿捏的)
- 离散数学 —— 代数系统(二元运算、封闭性、结合律、幺元、零元、逆元、半群、独异点、群、子群、循环群、置换群、陪集)
- MySQL 报错1055
- MDK keil中在定义一个结构体的时候加点后面不出现结构体当中变量的提示
- Qt5 学习之路及嵌入式开发教程11:Qt5标准输入对话框类及QSlider控件
- DIY主机:华硕B450m+AMD2600x
- python pb与json互转
- 交叉编译工具链的设置和命名规则
- 坦克大战 —— 韩顺平