GitHub撤销了由GitKraken客户端生成的不安全SSH密钥

由于第三方库中的漏洞增加了重复 SSH 密钥的可能性，代码托管平台 GitHub 已撤销通过 GitKraken git GUI 客户端生成的弱 SSH 身份验证密钥。作为一项预防措施，Github表示正在建立新的保护措施，以防止易受攻击的 GitKraken 版本添加新生成的弱密钥。

打开网易新闻 查看更多图片

根据网络安全行业门户极牛网JIKENB.COM的梳理，有问题的依赖项称为“密钥对”，是一个开源 SSH 密钥生成库，允许用户创建 RSA 密钥以用于身份验证相关的使用。已发现它会影响2021 年 5 月 12 日至 2021 年 9 月 27 日期间发布的GitKraken版本 7.6.x、7.7.x 和 8.0.0。

该漏洞号为 CVE-2021-41117（CVSS 评分：8·7）涉及库使用的伪随机数生成器中的一个错误，导致创建较弱形式的公共 SSH 密钥，由于它们的低熵，即随机性的度量太低，使得密钥重复的概率变大，这可能使攻击者能够解密机密信息或未经授权访问属于受害者的帐户。

Axosoft 工程师 Dan Suceava 因发现了安全漏洞而受到赞誉，而 GitHub 安全工程师 Kevin Jones 则因确定了漏洞的原因和源代码位置而受到认可。在撰写本文时，没有证据表明该漏洞被广泛利用来破坏帐户。

强烈建议受影响的用户查看并删除所有存储在本地的旧 GitKraken 生成的 SSH 密钥，以及使用 GitKraken 8.0.1 或更高版本为您的每个 Git 服务提供商生成新的 SSH 密钥，例如 GitHub、GitLab 和Bitbucket 等。