Code-Hoster: Github veröffentlicht privaten SSH-Schlüssel

Millionen von Entwicklern könnten bald MITM-Angriffen ausgesetzt sein, denn Github muss kurzfristig seinen SSH-Host-Key austauschen.

Artikel veröffentlicht am ,
Github musste seinen SSH-Host-Key auswechseln.
Github musste seinen SSH-Host-Key auswechseln. (Bild: Pixabay)

Der zu Microsoft gehörende Code-Hoster Github berichtet in seinem Blog von einem folgenschweren Versehen: Demnach war der private RSA-Host-Schlüssel für SSH-Operation für Github.com in einem öffentlichen Repository einsehbar. Wie lange der Schlüssel öffentlich einsehbar war, sagt Github nicht. Als unmittelbare Sicherheitsmaßnahme änderte Github den Schlüssel nun – "vorsichtshalber", wie das Unternehmen zurückhaltend formulierte.

Zum Authentifizieren der Git-Operationen bei Github können Entwickler entweder ihre Zugangsdaten aus Login und Passwort verwenden oder SSH-Schlüssel. Die Authentifizierung der Github-Server geschieht dabei über den Host-Key der SSH-Verbindung, dem bei der initialen Verbindung vertraut werden muss.

Mit der Veröffentlichung des privaten Schlüssels von Github könnten Angreifer die Server des Dienstes über einen Man-in-the-Middle-Angriff (MITM) imitieren und so etwa Zugriff auf nicht öffentlichen Code erlangen. Der nun erfolgte Wechsel des Schlüssels auf Seiten von Github führt ebenfalls zur Möglichkeit eines MITM-Angriffs. Immerhin müssen Entwickler bei der erneuten Verbindung einen neuen Host-Key akzeptieren. Wird dieser nicht mit dem vom Github veröffentlichten Fingerabdruck abgeglichen, ermöglicht das den Angriff.

Betroffen ist ausschließlich der RSA-Schlüssel. Github stellt eine Anleitung bereit, wie der alte Host-Schlüssel, der als kompromittiert gelten muss, entfernt und durch den neuen ersetzt werden kann. Setzen Nutzer auf die anderen Verfahren, Ed25519 oder ECDSA, ist nichts zu tun.

Der Autor meint dazu:

Die Veröffentlichung des privaten Schlüssels durch Github ist peinlich und lässt die von dem Dienst selbst angebotenen Sicherheitsmaßnahmen zum Secret-Scanning in einem schlechten Licht erscheinen. Denn entweder werden dabei keine SSH-Schlüssel erkannt oder Github selbst nutzt die Push-Protection nicht, die ein versehentliches Veröffentlichen noch vor dem Hochladen verhindern soll. Das dürfte auch den Verantwortlichen klar sein, die sich deshalb mit Details zu dem Vorfall ausschweigen, statt auf Transparenz und Aufklärung zu setzen.

Ein derart fahrlässiges Vorgehen, das Millionen von Entwicklern und deren Code Sicherheitsrisiken aussetzt – und damit auch sämtliche Nutzer gefährdet – darf einem für die Softwareindustrie derart kritischen Dienst wie Github nicht passieren. Erschwerend hinzu kommt, dass Github erst vor wenigen Wochen Signaturschlüssel entwendet wurden. Offenbar hat Github ein massives Problem mit seiner internen Sicherheit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Copilot X
Github will KI-Funktionen für gesamte Entwicklung anbieten
artikel-bild
Open Source
Der Patch-basierte Git-Workflow soll bleiben!
artikel-bild
Enterprise Netzwerk
Wireguard-Spezialist Tailscale bietet eigenen SSH-Dienst
Meistgelesen
artikel-bild
Google Street View
Deutschland bekommt keine Möglichkeit zur Zeitreise
artikel-bild
Balkonkraftwerke
Bundesnetzagentur warnt vor mangelhaften Wechselrichtern
artikel-bild
Wissenschaft
In Energydrinks enthaltenes Taurin könnte Leben verlängern
Kommentarübersicht
Re: Übernahme durch Microsoft
TheUnichi 26. Mär 2023

Mag ja sein, aber was genau hatte jetzt in diesem spezifischen Szenario Microsoft für...

Re: Vorbildlich
fs4r 25. Mär 2023

Da jeder Entwickler nach dem Austausch einen SSH-Hostkey-Fehler angezeigt bekommt, ist...

Re: private Schlüssel mit Passphrase sichern
slax 24. Mär 2023

Junge Junge, es geht um die Server identity.

Welches Repositiory war das?
negiup 24. Mär 2023

Weiß man mehr darüber?

Aktuell auf der Startseite von Golem.de
Google Street View
Deutschland bekommt keine Möglichkeit zur Zeitreise

Mit der überfälligen Aktualisierung verliert Street View auch das alte Bildmaterial - und das hat nicht nur mit Datenschutz zu tun.
Von Daniel Ziegener

Google Street View: Deutschland bekommt keine Möglichkeit zur Zeitreise
Artikel
  1. Technische Schulden: Was Accidental Complexity in der Entwicklung kostet
    Technische Schulden
    Was Accidental Complexity in der Entwicklung kostet

    Anfangs setzen IT-Teams schnell neue Features um, dann wird die Entwicklungszeit meist länger. Accidental Complexity ist häufig die Ursache - wir erklären, wie sie entsteht und was sich dagegen tun lässt.
    Von Marcus Held

  2. Saporischschja: AKW ist nach Staudammzerstörung mittelfristig in Gefahr
    Saporischschja
    AKW ist nach Staudammzerstörung mittelfristig in Gefahr

    Ein Experte für Reaktorsicherheit befürchtet, dass dem Atomkraftwerk Saporischschja das Kühlwasser ausgeht.

  3. Wissenschaft: In Energydrinks enthaltenes Taurin könnte Leben verlängern
    Wissenschaft
    In Energydrinks enthaltenes Taurin könnte Leben verlängern

    Wissenschaftler haben Anzeichen dafür entdeckt, dass Taurin die Gesundheit verbessern und das Leben verlängern könnte. Mehr Energydrinks sollte man aber nicht trinken.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • XXL-Sale bei Alternate • MindStar: MSI G281UVDE 269€, ASRock RX 6700 XT Phantom D OC 379€, XFX Speedster MERC 319 RX 6800 XT Core 559€ • Corsair Vengeance RGB PRO SL DDR4-3600 32 GB 79,90€ • Corsair K70 RGB PRO 125,75€ • SHARP 65FN6E Android Frameless TV 559,20€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /