Iemand bij GitHub heeft per ongeluk de private RSA SSH host key gepubliceerd op de website. Daarom heeft GitHub de sleutel veranderd.
Wil je een SSH-verbinding kapen en jezelf voordoen als GitHub? Dan heb je de private RSA-sleutel van het code-repositorium nodig. Die laat je toe om allerlei stoute SSH-gebaseerde zaken uit te spoken. Precies daarom is het belangrijk dat een private sleutel privaat blijft. Dat maakt het spijtig voor GitHub en gebruikers dat iemand vorige week per ongeluk de sleutel op de website heeft gepost.
Publiek zichtbaar
De sleutel was kortstondig zichtbaar in een publiek GitHub-repository. Dat was het gevolg van een menselijke fout. GitHub benadrukt dat die fout niets te maken had met een aanval, en dat een hacker evenmin de systemen van GitHub zelf kan compromitteren met de sleutel.
lees ook
GitHub maakt 2FA verplicht voor ontwikkelaars
Om veilig te zijn, heeft het dochterbedrijf van Microsoft intussen zijn RSA SSH host key vervangen. Dat heeft impact voor ontwikkelaars die met GitHub praten via SSH en RSA. Heel wat gebruikers zullen een melding krijgen over de veranderde host key. In dat geval moet je je oude publieke oude sleutel verwijderen en een nieuwe publieke sleutel toevoegen. In afwachting daarvan zullen RSA/SSH-gebaseerde acties fouten geven. GitHub zelf geeft meer informatie over wat je moet doen in een blogpost.