GitHub が日本時間 24 日 14 時頃、GitHub.com の Git 操作で使用する RSA SSH ホスト鍵を更新したそうだ
(The GitHub Blog の記事、
The Register の記事)。
今週 GitHub は RSA SSH 秘密鍵がGitHubの公開リポジトリで短時間見える状態になっていたことを発見し、すぐに修正を行って原因と影響の調査を行ったという。その結果、GitHubのシステムや顧客の情報が不正にアクセスされたのではなく、誤って秘密鍵を公開してしまった結果だと判断したとのこと。秘密鍵が不正に用いられたという証拠もないが、攻撃者がGitHubになりすましたり、ユーザーのGit操作を盗聴する可能性があることから、念のためホスト鍵を更新したとのこと。この変更はRSA鍵を使用してSSHでGit操作をする場合にのみ影響し、GitHub.comへのウェブトラフィックやHTTPSでのGit操作は影響を受けない。
RSA鍵を使用してSSHでGitHub.comにアクセスすると警告が表示されるので、古い鍵を削除して新しい鍵を追加する必要がある。ECDSA鍵やEd25519鍵を使用している場合には影響がなく、特に何も変更する必要はないとのことだ。
| セキュリティ
| 暗号
| デベロッパー
|
関連ストーリー:
無償のランサムウェア被害復旧ツールを当局がGithubで公開
2023年02月13日
GitHubから非公開リポジトリなどのデータが流出
2022年04月22日
米軍が過去8年にわたって収集した大量のインターネット投稿、Amazon S3で誤って公開されていたことが判明
2017年11月22日
Adobeのセキュリティチーム、誤ってPGP秘密鍵をブログで公開
2017年09月24日
Cloudflareのバグで別のユーザーのCookieやパスワードが送信される
2017年02月26日
PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される
2016年08月23日
オランダ警察、「PGP Blackberry」で使われているPGP暗号化されたメールを解読していた
2016年01月19日
Source: スラッシュドット
