Microsoft iptal edildi Güvensiz SSH tuşları Bazı Azure DevOps, bağımlılıklarından birinde bulundu, altta yatan bir sorundan etkilenen bir Gitkraken Git GUI istemci versiyonu kullanılarak üretti.
Azure DevOps, entegre bir geliştirme ortamı (IDE) istemcisi veya Web tarayıcısı aracılığıyla erişilebilen entegre bir özellik seti ile kod geliştirme işbirliği için özel olarak tasarlanmış bir Microsoft Cloud servisidir.
Anahtarları iptal etme kararı, Gitkraken'in geliştiricisi Axosoft'un ardından Microsoft'un 28 Eylül'de Microsoft'a bildirildi.
Microsoft onları iptal etmediyse, yinelenen SSH tuşlarının Azure'un diğer kullanıcıların hesaplarına erişmek için müşterilerinize devreye girmesine izin verilir.
"Bu açıklamaya cevaben, bildirilen güvenlik açığının bir güvenlik soruşturması yaptık ve Gitkraken'in etkilenen sürümleri yoluyla üretilen potansiyel olarak güvensiz SSH tuşları ile hizmetimizde küçük bir kullanıcı kümesi belirledik" dedi.
"Etkilenen tüm SSH tuşlarını, 10/11/2021 tarihinde Gitkraken'in etkilenen sürümleriyle üretilen tüm SSH tuşlarını iptal ettik. Ayrıca, SSH tuşları gelecek 24 saat içinde iptal edildiğini doğrudan doğrudan bilgilendireceğiz."
Azure Devoss Müşterileri, SSH tuşlarını zaten bildirmemişken, bu güvenlik açığından etkilenmeleri muhtemeldir, Microsoft hala Azure Devoss Services / TFS'ye yeni SSH kamu anahtarları eklemelerini tavsiye eder.
SSH kamu anahtarlarınızı çıkarma ve yeni olanlar eklenmesi hakkında ayrıntılı bilgi Microsoft'un destek web sitesinde mevcuttur.
Dün, Github ayrıca, yanlış SSH kimlik doğrulama anahtarlarıyla oluşturulan, hatalı tuşları yanlış anahtarları yanlış oluşturan Gitkraken versiyonları ile üretilen zayıf SSH kimlik doğrulama anahtarlarını iptal ettiğini açıkladı.
Kütüphane kusurları, Axosoft Engineer Dan Suceava tarafından keşfedildi "Tuş kuyuunun düzenli olarak yinelenen RSA anahtarları ürettiğini fark etti" ve GitHub Senior Security Mühendisi Kevin Jones nedenini belirledi.
Kullanıcılarını korumak için, GitHub, Gitkraken tarafından üretilen tüm tuşları ve diğer Git istemcileri tarafından oluşturulan diğer tüm tuşları, aynı buggy tuşlu kütüphane sürümünü kullanır.
Bitbucket ve Gitlab ayrıca, Müşterilerini Salı günü eski Gitkraken versiyonları ile üretilen zayıf halka arzları iptal etti.
Bu 60 $ 'lık paket ile Microsoft Azure Uzmanı Olun
Bu 5 çeşitli Microsoft Azure Bundle herhangi bir ortamla başa çıkmanıza yardımcı olur
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Microsoft, Hacker'ların Azure Konteynerlerinin üstesinden gelmesini sağlayan hata düzeltmeleri
Microsoft, Azure Cosmos DB Hesaplarını Sabitleme konusunda rehberlik paylaşıyor
Kaynak: Bleeping Computer