GitHub、誤公開した RSA SSH ホスト鍵を更新 6
ストーリー by headless
更新 部門より
更新 部門より
GitHub が日本時間 24 日 14 時頃、GitHub.com の Git 操作で使用する RSA SSH ホスト鍵を更新したそうだ
(The GitHub Blog の記事、
The Register の記事)。
今週 GitHub は RSA SSH 秘密鍵がGitHubの公開リポジトリで短時間見える状態になっていたことを発見し、すぐに修正を行って原因と影響の調査を行ったという。その結果、GitHubのシステムや顧客の情報が不正にアクセスされたのではなく、誤って秘密鍵を公開してしまった結果だと判断したとのこと。秘密鍵が不正に用いられたという証拠もないが、攻撃者がGitHubになりすましたり、ユーザーのGit操作を盗聴する可能性があることから、念のためホスト鍵を更新したとのこと。この変更はRSA鍵を使用してSSHでGit操作をする場合にのみ影響し、GitHub.comへのウェブトラフィックやHTTPSでのGit操作は影響を受けない。
RSA鍵を使用してSSHでGitHub.comにアクセスすると警告が表示されるので、古い鍵を削除して新しい鍵を追加する必要がある。ECDSA鍵やEd25519鍵を使用している場合には影響がなく、特に何も変更する必要はないとのことだ。
今週 GitHub は RSA SSH 秘密鍵がGitHubの公開リポジトリで短時間見える状態になっていたことを発見し、すぐに修正を行って原因と影響の調査を行ったという。その結果、GitHubのシステムや顧客の情報が不正にアクセスされたのではなく、誤って秘密鍵を公開してしまった結果だと判断したとのこと。秘密鍵が不正に用いられたという証拠もないが、攻撃者がGitHubになりすましたり、ユーザーのGit操作を盗聴する可能性があることから、念のためホスト鍵を更新したとのこと。この変更はRSA鍵を使用してSSHでGit操作をする場合にのみ影響し、GitHub.comへのウェブトラフィックやHTTPSでのGit操作は影響を受けない。
RSA鍵を使用してSSHでGitHub.comにアクセスすると警告が表示されるので、古い鍵を削除して新しい鍵を追加する必要がある。ECDSA鍵やEd25519鍵を使用している場合には影響がなく、特に何も変更する必要はないとのことだ。
なんだか (スコア:0)
確信犯の仕業ぽく感じてしまうな
Re: (スコア:0)
ドーモ、Anonymous Coward=サン。確信犯誤用警察デス。
Re: (スコア:0)
ドーモ、Anonymous Coward=サン。確信犯誤用警察デス。
所轄は京都か神奈川あたりでしょうか
Ed24419? (スコア:0)
元記事読んだらEd25519じゃん
一瞬、GitHubってEd448使えたんやと勘違いしてしまった
真面目にやれよ >>>>headless
Re:Ed24419? (スコア:1)
Re: (スコア:0)
そういや、Ed448ってOpenSSHでサポートされてないんだっけ。どこで使われているんだろ?