Bảo mật

Azure, GitHub, GitLab, BitBucket thu hồi hàng loạt khóa SSH Key

author Đặng Hoài Đức - 2021-10-14 09:09:32 (GMT+7)

Microsoft, GitHub, GitLab và BitBucket — bốn nền tảng lưu trữ mã nguồn lớn nhất hiện nay — đã bắt đầu thu hồi hàng loạt khóa SSH Key vào thứ hai tuần này, sau khi phát hiện ra lỗ hổng trong ứng dụng phần mềm GitKraken.

Việc thu hồi mã khóa SSH Key được công ty phần mềm Axosoft trụ sở tại Arizona yêu cầu thực hiện. Và đây cũng là công ty đã phát triển GitKraken và tìm ra lỗ hổng bảo mật này.

Trong một bài đăng trên blog, Axosoft giải thích rằng các phiên bản 7.6x, 7.7.x và 8.0.0 của ứng dụng GitKraken đã sử dụng công cụ “keypair” để tạo các khóa SSH Key cho phép người dùng kết nối ứng dụng GitKraken trên Azure DevOps, GitHub, GitLab, BitBucket hoặc các máy chủ lưu trữ mã nguồn khác.

Hacker có thể sao chép các mã SSH Key để đánh cắp mã nguồn

Công ty Axosoft tiết lộ rằng phiên bản GitKraken cũ đã tạo ra các mã khóa RSA với độ tin cậy thấp, và các hacker có thể lợi dụng điều này để tạo các khóa SSH Key giống với người dùng và đánh cắp các mã nguồn độc quyền. 

Sau khi sự cố xảy ra, công ty đã phát hành GitKraken phiên bản 8.0.1 mới nhất để vá lỗ hổng bảo mật và đã thông báo cho 4 nền tảng lưu trữ mã nguồn trên.

Ngay sau khi nhận được thông trên blog của Axosoft, nhóm bảo mật của Azure DevOps, GitHub, GitLab và Atlassian’s BitBucket bắt đầu thu hồi tất cả các khóa SSH Key của khách hàng.

Người dùng được yêu cầu tạo SSH Key mới


Bốn nền tảng Microsoft, GitHub, GitLab và BitBucket đang yêu cầu người dùng tạo khóa SSH Key mới bằng ứng dụng Git khác hoặc sử dụng ứng dụng GitKraken phiên bản mới nhất.

Cả công ty Axosoft và bốn nền tảng cho biết, họ chưa tìm thấy bằng chứng cho thấy các hacker đã sử dụng lỗ hổng này để xâm phạm tài khoản người dùng cho đến nay.

Chia sẻ bài viết này
Nhận tin nóng liên quan đến Bảo mật bằng cách
Subcribe Kênh Telegram Tin công nghệ

Bài viết liên quan

BẢO MẬT
Windows 10, iOS 15, Ubuntu, Chrome thất bại tại cuộc thi hack Tianfu của Trung Quốc
author Đặng Hoài Đức 18 Tháng mười, 2021

BẢO MẬT
Tiện ích chặn quảng cáo chèn quảng cáo lừa đảo vào trình duyệt web
author Đặng Hoài Đức 18 Tháng mười, 2021

BẢO MẬT
Google đang theo dõi 270 nhóm hacker ở hơn 50 Quốc gia
author Đặng Hoài Đức 15 Tháng mười, 2021

tin.123host.vnTin công nghệ 24h

Nơi cập nhật những thông tin công nghệ mới nhất.

Xem thêm