{"id":3538,"date":"2023-06-20T15:27:33","date_gmt":"2023-06-20T14:27:33","guid":{"rendered":"https:\/\/soc.dag.pl\/?p=3538"},"modified":"2023-06-28T13:28:59","modified_gmt":"2023-06-28T12:28:59","slug":"ujawnienie-prywatnego-klucza-rsa-ssh-githuba","status":"publish","type":"post","link":"https:\/\/soc.dag.pl\/ujawnienie-prywatnego-klucza-rsa-ssh-githuba\/","title":{"rendered":"Ujawnienie prywatnego klucza RSA SSH GitHuba"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t

Klucz prywatny RSA SSH GitHuba zosta\u0142 na kr\u00f3tko ujawniony w publicznym repozytorium GitHub. Oko\u0142o 05:00 UTC 24 marca, zast\u0105piono klucz RSA SSH hosta u\u017cywany do zabezpieczenia operacji Git dla GitHub.com. Zrobiono to, aby chroni\u0107 u\u017cytkownik\u00f3w przed mo\u017cliwo\u015bci\u0105 podszycia si\u0119 pod GitHub lub pods\u0142uchania ich operacji Git przez SSH. Klucz nie daje dost\u0119pu do infrastruktury GitHub ani do danych klient\u00f3w. Zmiana ma wp\u0142yw tylko na operacje Git przez SSH przy u\u017cyciu RSA. Ruch internetowy do GitHub.com i operacje HTTPS Git nie s\u0105 dotkni\u0119te.<\/p>

\u00a0<\/p>

Co si\u0119 sta\u0142o i jakie dzia\u0142ania podj\u0119to?<\/p>

\u00a0<\/p>

Zast\u0105piony zosta\u0142 tylko klucz RSA SSH GitHub.com. Nie jest wymagana \u017cadna zmiana dla u\u017cytkownik\u00f3w ECDSA lub Ed25519. Klucze s\u0105 udokumentowane tutaj. W tym tygodniu odkryto, \u017ce klucz prywatny RSA SSH GitHub.com zosta\u0142 na kr\u00f3tko ujawniony w publicznym repozytorium GitHub. Natychmiast podj\u0119to dzia\u0142ania w celu ograniczenia ekspozycji i rozpocz\u0119to dochodzenie, aby zrozumie\u0107 pierwotn\u0105 przyczyn\u0119 i konsekwencje. Zako\u0144czono ju\u017c wymian\u0119 klucza, a u\u017cytkownicy powinni zobaczy\u0107 propagowanie zmiany. Niekt\u00f3rzy u\u017cytkownicy mogli zauwa\u017cy\u0107, \u017ce nowy klucz by\u0142 kr\u00f3tko obecny od oko\u0142o 02:30 UTC podczas przygotowa\u0144 do tej zmiany.<\/p>


Nale\u017cy pami\u0119ta\u0107, \u017ce ten problem nie by\u0142 wynikiem naruszenia jakichkolwiek system\u00f3w GitHub lub informacji klient\u00f3w. Zamiast tego, nara\u017cenie to efekt nieumy\u015blnego opublikowania prywatnych informacji. Nie ma powod\u00f3w, aby s\u0105dzi\u0107, \u017ce ujawniony klucz by\u0142 nadu\u017cywany i podj\u0119to to dzia\u0142anie z nadmiaru ostro\u017cno\u015bci.<\/p>

Co mo\u017cesz zrobi\u0107?<\/p>

Je\u015bli u\u017cywasz kluczy ECDSA lub Ed25519, nie zauwa\u017cysz \u017cadnej zmiany i nie ma potrzeby podejmowania \u017cadnych dzia\u0142a\u0144.<\/p>

Je\u015bli podczas \u0142\u0105czenia si\u0119 z GitHub.com przez SSH widzisz nast\u0119puj\u0105cy komunikat, to czytaj dalej.<\/p>

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s.
Please contact your system administrator.
Add correct host key in ~\/.ssh\/known_hosts to get rid of this message.
Host key for github.com has changed and you have requested strict checking.
Host key verification failed.<\/p>


Je\u015bli zobaczysz powy\u017cszy komunikat, b\u0119dziesz musia\u0142 usun\u0105\u0107 stary klucz, uruchamiaj\u0105c to polecenie:<\/p>

$ ssh-keygen -R github.com<\/p>

Lub r\u0119cznie zaktualizowa\u0107 sw\u00f3j plik ~\/.ssh\/known_hosts, aby usun\u0105\u0107 stary wpis.<\/p>


Nast\u0119pnie mo\u017cesz r\u0119cznie doda\u0107 nast\u0119puj\u0105c\u0105 lini\u0119, aby doda\u0107 nowy wpis klucza publicznego RSA SSH do pliku ~\/.ssh\/known_hosts:<\/p>

github.com ssh-rsa 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<\/p>

Lub automatycznie zaktualizuj klucz RSA SSH GitHub.com w swoim ~\/.ssh\/known_hosts, wykonuj\u0105c nast\u0119puj\u0105ce czynno\u015bci w terminalu:<\/p>

$ ssh-keygen -R github.com
$ curl -L https:\/\/api.github.com\/meta | jq -r ‘.ssh_keys | .[] | sed -e ‘s\/^\/github.com \/’ >> ~\/.ssh\/known_hosts<\/p>

Mo\u017cesz sprawdzi\u0107, czy hosty \u0142\u0105cz\u0105 si\u0119 za pomoc\u0105 nowego klucza RSA SSH, potwierdzaj\u0105c, \u017ce widzisz nast\u0119puj\u0105cy odcisk palca:<\/p>

SHA256:uNiVztksCsDhcc0u9e8BujQXVUpKZIDTMczCvj3tD2s<\/p>

U\u017cytkownicy GitHub Actions mog\u0105 zobaczy\u0107 nieudane uruchomienie przep\u0142ywu pracy, je\u015bli u\u017cywaj\u0105 akcji \/checkout z opcj\u0105 ssh-key. Akcje actions\/checkout aktualizowane s\u0105 we wszystkich wspieranych tagach, w tym @v2, @v3 i @main. Je\u015bli przypniesz akcj\u0119 do commit SHA i u\u017cyjesz opcji ssh-key, b\u0119dziesz musia\u0142 zaktualizowa\u0107 sw\u00f3j przep\u0142yw pracy. Mo\u017cesz przeczyta\u0107 wi\u0119cej o tym procesie w oficjalnej dokumentacji dotycz\u0105cej hartowania bezpiecze\u0144stwa.<\/p>

Aby uzyska\u0107 wi\u0119cej informacji, sprawd\u017a oficjaln\u0105 dokumentacj\u0119 na temat odcisk\u00f3w kluczy publicznych SSH GitHub. Je\u015bli potrzebujesz pomocy, skontaktuj si\u0119 z naszymi przedstawicielami, kt\u00f3rzy podpowiedz\u0105, jak poradzi\u0107 sobie z takimi zagro\u017ceniami i wyzwaniami z nimi zwi\u0105zanymi.<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t
Categories :<\/h5>\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Na pi\u0105tek w BSR sala tv full multimedia przygotowa\u0107 na 15<\/p>\n","protected":false},"author":2,"featured_media":1893,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9,18,21,14],"tags":[],"class_list":["post-3538","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bazawiedy","category-hacking","category-news","category-phishing"],"_links":{"self":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/3538"}],"collection":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/comments?post=3538"}],"version-history":[{"count":23,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/3538\/revisions"}],"predecessor-version":[{"id":3989,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/3538\/revisions\/3989"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media\/1893"}],"wp:attachment":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media?parent=3538"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/categories?post=3538"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/tags?post=3538"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}