Azure, GitHub, GitLab, BitBucket thu hồi hàng loạt khóa SSH Key
Đặng Hoài Đức - 2021-10-14 09:09:32 (GMT+7)
Microsoft, GitHub, GitLab và BitBucket — bốn nền tảng lưu trữ mã nguồn lớn nhất hiện nay — đã bắt đầu thu hồi hàng loạt khóa SSH Key vào thứ hai tuần này, sau khi phát hiện ra lỗ hổng trong ứng dụng phần mềm GitKraken.
Việc thu hồi mã khóa SSH Key được công ty phần mềm Axosoft trụ sở tại Arizona yêu cầu thực hiện. Và đây cũng là công ty đã phát triển GitKraken và tìm ra lỗ hổng bảo mật này.
Trong một bài đăng trên blog, Axosoft giải thích rằng các phiên bản 7.6x, 7.7.x và 8.0.0 của ứng dụng GitKraken đã sử dụng công cụ “keypair” để tạo các khóa SSH Key cho phép người dùng kết nối ứng dụng GitKraken trên Azure DevOps, GitHub, GitLab, BitBucket hoặc các máy chủ lưu trữ mã nguồn khác.
Hacker có thể sao chép các mã SSH Key để đánh cắp mã nguồn
Công ty Axosoft tiết lộ rằng phiên bản GitKraken cũ đã tạo ra các mã khóa RSA với độ tin cậy thấp, và các hacker có thể lợi dụng điều này để tạo các khóa SSH Key giống với người dùng và đánh cắp các mã nguồn độc quyền.
Sau khi sự cố xảy ra, công ty đã phát hành GitKraken phiên bản 8.0.1 mới nhất để vá lỗ hổng bảo mật và đã thông báo cho 4 nền tảng lưu trữ mã nguồn trên.
Ngay sau khi nhận được thông trên blog của Axosoft, nhóm bảo mật của Azure DevOps, GitHub, GitLab và Atlassian’s BitBucket bắt đầu thu hồi tất cả các khóa SSH Key của khách hàng.
Người dùng được yêu cầu tạo SSH Key mới
Bốn nền tảng Microsoft, GitHub, GitLab và BitBucket đang yêu cầu người dùng tạo khóa SSH Key mới bằng ứng dụng Git khác hoặc sử dụng ứng dụng GitKraken phiên bản mới nhất.
Cả công ty Axosoft và bốn nền tảng cho biết, họ chưa tìm thấy bằng chứng cho thấy các hacker đã sử dụng lỗ hổng này để xâm phạm tài khoản người dùng cho đến nay.
Bài viết liên quan
Đặng Hoài Đức 31 Tháng mười hai, 2021
Đặng Hoài Đức 30 Tháng mười hai, 2021
Đặng Hoài Đức 17 Tháng mười hai, 2021
