Tặng bộ plugin WordPress bản quyền trị giá $900 Nhận ngay
Bảo mật

Azure, GitHub, GitLab, BitBucket thu hồi hàng loạt khóa SSH Key

author Đặng Hoài Đức - 2021-10-14 09:09:32 (GMT+7)

Microsoft, GitHub, GitLab và BitBucket — bốn nền tảng lưu trữ mã nguồn lớn nhất hiện nay — đã bắt đầu thu hồi hàng loạt khóa SSH Key vào thứ hai tuần này, sau khi phát hiện ra lỗ hổng trong ứng dụng phần mềm GitKraken.

Việc thu hồi mã khóa SSH Key được công ty phần mềm Axosoft trụ sở tại Arizona yêu cầu thực hiện. Và đây cũng là công ty đã phát triển GitKraken và tìm ra lỗ hổng bảo mật này.

Trong một bài đăng trên blog, Axosoft giải thích rằng các phiên bản 7.6x, 7.7.x và 8.0.0 của ứng dụng GitKraken đã sử dụng công cụ “keypair” để tạo các khóa SSH Key cho phép người dùng kết nối ứng dụng GitKraken trên Azure DevOps, GitHub, GitLab, BitBucket hoặc các máy chủ lưu trữ mã nguồn khác.

Hacker có thể sao chép các mã SSH Key để đánh cắp mã nguồn

Công ty Axosoft tiết lộ rằng phiên bản GitKraken cũ đã tạo ra các mã khóa RSA với độ tin cậy thấp, và các hacker có thể lợi dụng điều này để tạo các khóa SSH Key giống với người dùng và đánh cắp các mã nguồn độc quyền. 

Sau khi sự cố xảy ra, công ty đã phát hành GitKraken phiên bản 8.0.1 mới nhất để vá lỗ hổng bảo mật và đã thông báo cho 4 nền tảng lưu trữ mã nguồn trên.

Ngay sau khi nhận được thông trên blog của Axosoft, nhóm bảo mật của Azure DevOps, GitHub, GitLab và Atlassian’s BitBucket bắt đầu thu hồi tất cả các khóa SSH Key của khách hàng.

Người dùng được yêu cầu tạo SSH Key mới


Bốn nền tảng Microsoft, GitHub, GitLab và BitBucket đang yêu cầu người dùng tạo khóa SSH Key mới bằng ứng dụng Git khác hoặc sử dụng ứng dụng GitKraken phiên bản mới nhất.

Cả công ty Axosoft và bốn nền tảng cho biết, họ chưa tìm thấy bằng chứng cho thấy các hacker đã sử dụng lỗ hổng này để xâm phạm tài khoản người dùng cho đến nay.

Chia sẻ bài viết này
Nhận tin nóng liên quan đến Bảo mật bằng cách
Subscribe Kênh Telegram Tin công nghệ

Bài viết liên quan

BẢO MẬT
Tổng hợp các lỗ hổng bảo mật nguy hiểm được phát hiện trong năm 2021
author Đặng Hoài Đức 31 Tháng mười hai, 2021

BẢO MẬT
Hacker sử dụng rootkit HP iLO để xóa dữ liệu các máy chủ
author Đặng Hoài Đức 30 Tháng mười hai, 2021

BẢO MẬT
Các hacker Log4j chuyển sang khai thác tiền điện tử Monero
author Đặng Hoài Đức 17 Tháng mười hai, 2021

tin.123host.vnTechnology news 24 hours

Nơi cập nhật tin tức mới nhất dành cho SysAdmin.

Xem thêm