Nền tảng GitHub thu hồi một số khóa xác thực SSH có mức độ bảo mật kém - Bảo mật

Nền tảng GitHub thu hồi một số khóa xác thực SSH có mức độ bảo mật kém

Nền tảng lưu trữ mã nguồn GitHub đã thu hồi các khóa xác thực SSH yếu do phần mềm quản lý mã nguồn GitKraken git GUI client tạo ra thông qua một lỗ hổng trong thư viện bên thứ ba làm tăng khả năng xuất hiện các khóa xác thực SSH trùng lặp.

Để tăng biện pháp đề phòng, công ty do Microsoft sở hữu cũng cho biết họ đang xây dựng hàng rào phòng vệ để ngăn chặn sự gia tăng các SSH yếu do các phiên bản bảo mật kém của phần mềm quản lý mã nguồn GitKraken gần đây tạo ra.

Dependency gây ra vấn đề (gọi là “keypair”) là một thư viện tạo khóa SSH nguồn mở cho phép người dùng tạo ra các khóa mã hóa bất đối xứng (RSA keys) cho các mục đích liên quan đến xác thực. Nó bị phát hiện đã ảnh hưởng đến các phiên bản GitKraken 7.6.x, 7.7.x và 8.0.0, được phát hành từ ngày 12/5/2021 đến ngày 27/9/2021.

Lỗ hổng bảo mật có định danh CVE-2021-41117 (Điểm CVSS: 8,7) – liên quan đến bug trong quá trình tạo số giả ngẫu nhiên được thư viện khai thác dẫn đến việc hình thành một dạng khóa xác thực SSH yếu hơn do số đo mức độ ngẫu nhiên (entropy) thấp- có thế làm tăng xác suất trùng lặp khóa.

Trong một tư vấn bảo mật được công bố ngày 11/10, thành viên của đội ngũ phát triển thư viện keypair, Julian Gruber cho biết: “Điều này có thể giúp kẻ tấn công giải được mã của các tin nhắn bảo mật hoặc truy cập không xác thực vào tài khoản của nạn nhân.” Vấn đề này đã được xử lý trong thư viện keypair phiên bản 1.0.4 và GitKraken phiên bản 8.0.1

Kỹ sư của công ty công nghệ Axosoft, Dan Suceave đã phát hiện được lỗ hổng bảo mật trong khi đó kỹ sư an toàn thông tin của GitHub, Kevin Jones đã thực hiện nhiệm vụ xác nhận nguyên nhân và vị trí mã nguồn của bug. Vào thời điểm đó, không có bằng chứng nào cho thấy lỗ hổng bị khai thác trên diện rộng để xâm phạm các tài khoản.

Những nạn nhân được khuyến nghị nên xét duyệt và xóa bỏ “tất cả các khóa xác thực SSH cũ được lưu trữ cục bộ của GitKraken”, đồng thời “tạo ra các khóa xác thực SSH mới bằng phiên bản GitKraken 8.0.1 trở lên cho từng nhà cung cấp dịch vụ Git của họ” chẳng hạn như GitHub, GitLab, và Bitbucket.

Cập nhật: Cùng với GitHub, Microsoft Azure DevOps, GitLab và Atlassian Bitbucket cũng đã bắt đầu thu hồi hàng loạt các khóa xác thực SSH liên kết với những tài khoản được GitKraken client dùng để đồng bộ hóa mã nguồn, đồng thời buộc người dùng thu hồi các public key xác thực và tạo ra các khóa mới bằng bản cập nhật phần mềm.

Theo The Hacker News

The post Nền tảng GitHub thu hồi một số khóa xác thực SSH có mức độ bảo mật kém appeared first on SecurityDaily.



from SecurityDaily https://ift.tt/3AGC4Hf

Comments

Post a Comment

Popular posts from this blog

Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận?

Image
 Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận? Công kích cá nhân (ad hominem) là một dạng nguỵ biện phổ biến trong tranh luận đặc biệt là trong những cuộc tranh luận giữa người Việt với nhau ngoài đời lẫn trên mạng xã hội. Đối với những người tôn trọng lý lẽ khi tranh luận, công kích cá nhân là loại nguỵ biện bị khinh rẻ nhất vì nó hoàn toàn không dựa trên lý lẽ, biến vấn đề cần tranh luận thành mâu thuẫn cá nhân và gây tổn thương sâu sắc cho đối phương. Công kích cá nhân khi tranh luận cũng giống như sử dụng những chiêu cấm kị trong võ thuật như móc mắt, đá vào hạ bộ hoặc sử dụng ám khí trong khi đấu võ vậy vì nó gây sát thương một cách không quan minh chính đại. Công kích cá nhân chia ra làm nhiều loại: - Chế giễu (humiliate): dựa vào nhược điểm về ngoại hình, nghề nghiệp, gia cảnh hoặc xuất thân của người kia gây tổn thương tâm lý. - Chụp mũ, vu khống (slander): dựa vào một sơ hở trong lúc tranh luận của đối phương mà gánh ghép cho họ m
Read more

Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu - Bảo mật

Image
Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu Lần đầu tiên một chiến dịch kiếm tiền nhắm vào các thiết bị Android và phát tán phần mềm độc hại trên điện thoại thông qua kỹ thuật tấn công giả mạo bằng SMS kể từ năm 2018 phát tán phần mềm độc hại với mục tiêu tấn công là các nạn nhân ở Pháp và Đức . Với tên gọi Roaming Mantis , loạt hoạt động mới nhất của malware này được quan sát vào năm 2021 liên quan đến việc gửi các văn bản giả mạo về vận chuyển có chứa địa chỉ URL dẫn đến một trang đích. Tại đây, người dùng Android bị lây nhiễm banking trojan gọi là Wroba trong khi đó người dùng iPhone bị chuyển hướng đến một trang lừa đảo giả mạo là trang web chính thức của Apple. Dựa trên dữ liệu từ xa do Kaspersky thu thập vào tháng 7/2021 và tháng 2/2022, các quốc gia bị ảnh hưởng nhiều nhất là Pháp, Nhật Bản, Ấn Độ, Trung Quốc, Đức và Hàn Quốc. Cũng được theo dõi dưới tên MoqHao và XLoader (đừng nhầm với phần mềm độc hại cùng tên chuyên đánh cắp thông tin nhắm mục tiê
Read more

iOS của Apple bị lỗ hổng dooLock mới tấn công - Bảo mật

Image
iOS của Apple bị lỗ hổng dooLock mới tấn công Một lỗ hổng từ chối dịch vụ ( DoS ) dai dẳng đã được phát hiện trong hệ điều hành iOS của Apple có khả năng khiến các thiết bị Apple gặp sự cố hoặc bị khởi động lặp lại khi kết nối với thiết bị tương thích với Apple Home. Lỗ hổng có tên là “doorLock” rất bình thường ở chỗ nó có thể được kích hoạt chỉ bằng việc đổi tên thiết bị HomeKit thành một chuỗi lớn hơn 500.000 ký tự. Điều này khiến nỗ lực kết nối của iPhone hoặc iPad đến thiết bị không được phản hồi và rơi vào vòng lặp lỗi hệ thống và khởi động lại vô thời hạn. Vấn đề này chỉ có thể khắc phục bằng cách khôi phục thiết bị bị ảnh hưởng qua Chế độ Khôi phục (Recovery) và Nâng cấp phần mềm thiết bị (DFU). HomeKit là một khung phần mềm của Apple cho phép người dùng iOS và iPadOS đặt cấu hình, giao tiếp và điều khiển các phụ kiện và thiết bị nhà thông minh (smart-home) bằng thiết bị Apple. Nhà nghiên cứu bảo mật Trevor Spiniolas cho biết : “Bất kỳ thiết bị nào có cài đặt phiên bản iOS
Read more