- Die Betreiber der Versionsverwaltungsplattform GitHub haben den RSA-SSH-Host-Schlüssel ausgetauscht, weil der private Schlüssel offenbar in einem öffentlichen Repository aufgetaucht war. Der Vorfall betrifft nur diejenigen, die ihre Git-Operationen über SSH (Secure Shell) mit dem RSA-Kryptoverfahren durchführen, zeigt aber auch, dass den Betreibern Pannen passieren können, vor denen sie ihre Kundschaft warnen.
Nach Angaben von GitHub hat das Unternehmen festgestellt, dass der private RSA-SSH-Schlüssel kurzzeitig in einem öffentlichen GitHub-Repository zu finden war. Laut einem Blogbeitrag handelte es sich um keine externe Attacke und es seien keinerlei Kundendaten abgegriffen worden. GitHub habe keinen Grund zur Annahme, dass jemand den exponierten Schlüssel missbraucht hat.Die Betreiber der Plattform vermuten, dass es sich bei der Veröffentlichung des Schlüssels um ein Versehen gehandelt habe. Dass private Schlüssel, Passwörter im Klartext oder andere Credentials in Repositories landen, kommt leider immer wieder vor. Das hat sowohl GitHub als auch GitLab dazu veranlasst, Schutzmaßnahmen einzuführen. GitHub hat Anfang 2021 zunächst für private Repositories Secret Scanning eingeführt, das solche Credentials aufspürt. Inzwischen ist die Funktion auch für öffentliche Repositories verfügbar.
Der KI-Codeassistent Copilot hat Anfang des Jahres einen Filter erhalten, der hartkodierte Credentials erkennen soll. Mitbewerber GitLab bietet seit Anfang 2019 die Funktion Secret Detection, die anfangs auf die teuerste Ultimate-Variante beschränkt war. Inzwischen ist sie mit geringerem Funktionsumfang auch in der kostenlosen Free-Variante enthalten. Das Thema Security bringt GitHub regelmäßig auf den Tisch und hat frisch das Secure Code Game gestartet, das Entwicklerinnen und Entwicklern dabei helfen soll, weniger Schwachstellen zu produzieren.Quellen: https://www.heise.de/news/Panne-bei-Git ... 03623.html
Herzlich willkommen bei PC-Sicherheit.net
Du betrachtest derzeit das Forum als Gast und hast damit nur eingeschränkten Zugriff. Um alle Bereiche zusehen und alle Forenfunktionen nutzen zu können ist eine kostenlose Registrierung erforderlich.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Viele Grüße vom PC-Sicherheit.net Team
durch eine Panne war der Privater SSH-Schlüssel von GitHub öffentlich einsehbar
-
Astor27
- Moderator
- Beiträge: 25467
- Registriert: So 5. Feb 2012, 15:21
- Betriebssystem: Win10-64bit,Win11
- Browser: Firefox125.0.2/Brave
- Firewall: KIS21
- Virenscanner: KIS21
- Hat sich bedankt: 9487 Mal
- Danksagung erhalten: 8644 Mal
durch eine Panne war der Privater SSH-Schlüssel von GitHub öffentlich einsehbar
durch eine Panne war der Privater SSH-Schlüssel von GitHub öffentlich einsehbar
- Folgende Benutzer bedankten sich beim Autor Astor27 für den Beitrag:
- Logitech21
Ich empfehle den download und update immer von der Original Seite der Software.