Code-Hoster: Github veröffentlicht privaten SSH-Schlüssel

Millionen von Entwicklern könnten bald MITM-Angriffen ausgesetzt sein, denn Github muss kurzfristig seinen SSH-Host-Key austauschen.

Artikel veröffentlicht am ,
Github musste seinen SSH-Host-Key auswechseln.
Github musste seinen SSH-Host-Key auswechseln. (Bild: Pixabay)

Der zu Microsoft gehörende Code-Hoster Github berichtet in seinem Blog von einem folgenschweren Versehen: Demnach war der private RSA-Host-Schlüssel für SSH-Operation für Github.com in einem öffentlichen Repository einsehbar. Wie lange der Schlüssel öffentlich einsehbar war, sagt Github nicht. Als unmittelbare Sicherheitsmaßnahme änderte Github den Schlüssel nun – "vorsichtshalber", wie das Unternehmen zurückhaltend formulierte.

Zum Authentifizieren der Git-Operationen bei Github können Entwickler entweder ihre Zugangsdaten aus Login und Passwort verwenden oder SSH-Schlüssel. Die Authentifizierung der Github-Server geschieht dabei über den Host-Key der SSH-Verbindung, dem bei der initialen Verbindung vertraut werden muss.

Mit der Veröffentlichung des privaten Schlüssels von Github könnten Angreifer die Server des Dienstes über einen Man-in-the-Middle-Angriff (MITM) imitieren und so etwa Zugriff auf nicht öffentlichen Code erlangen. Der nun erfolgte Wechsel des Schlüssels auf Seiten von Github führt ebenfalls zur Möglichkeit eines MITM-Angriffs. Immerhin müssen Entwickler bei der erneuten Verbindung einen neuen Host-Key akzeptieren. Wird dieser nicht mit dem vom Github veröffentlichten Fingerabdruck abgeglichen, ermöglicht das den Angriff.

Betroffen ist ausschließlich der RSA-Schlüssel. Github stellt eine Anleitung bereit, wie der alte Host-Schlüssel, der als kompromittiert gelten muss, entfernt und durch den neuen ersetzt werden kann. Setzen Nutzer auf die anderen Verfahren, Ed25519 oder ECDSA, ist nichts zu tun.

Der Autor meint dazu:

Die Veröffentlichung des privaten Schlüssels durch Github ist peinlich und lässt die von dem Dienst selbst angebotenen Sicherheitsmaßnahmen zum Secret-Scanning in einem schlechten Licht erscheinen. Denn entweder werden dabei keine SSH-Schlüssel erkannt oder Github selbst nutzt die Push-Protection nicht, die ein versehentliches Veröffentlichen noch vor dem Hochladen verhindern soll. Das dürfte auch den Verantwortlichen klar sein, die sich deshalb mit Details zu dem Vorfall ausschweigen, statt auf Transparenz und Aufklärung zu setzen.

Ein derart fahrlässiges Vorgehen, das Millionen von Entwicklern und deren Code Sicherheitsrisiken aussetzt – und damit auch sämtliche Nutzer gefährdet – darf einem für die Softwareindustrie derart kritischen Dienst wie Github nicht passieren. Erschwerend hinzu kommt, dass Github erst vor wenigen Wochen Signaturschlüssel entwendet wurden. Offenbar hat Github ein massives Problem mit seiner internen Sicherheit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Copilot X
Github will KI-Funktionen für gesamte Entwicklung anbieten
artikel-bild
Open Source
Der Patch-basierte Git-Workflow soll bleiben!
artikel-bild
Enterprise Netzwerk
Wireguard-Spezialist Tailscale bietet eigenen SSH-Dienst
Meistgelesen
artikel-bild
Künstliche Intelligenz
So funktionieren KI-Bildgeneratoren
artikel-bild
Apple
iPhone 15 soll mit USB-C und neuem Mute-Button kommen
artikel-bild
Endzeit
Experten warnen vor der Ausrottung der Menschheit durch KI
Kommentarübersicht
Re: Übernahme durch Microsoft
TheUnichi 26. Mär 2023

Mag ja sein, aber was genau hatte jetzt in diesem spezifischen Szenario Microsoft für...

Re: Vorbildlich
fs4r 25. Mär 2023

Da jeder Entwickler nach dem Austausch einen SSH-Hostkey-Fehler angezeigt bekommt, ist...

Re: private Schlüssel mit Passphrase sichern
slax 24. Mär 2023

Junge Junge, es geht um die Server identity.

Welches Repositiory war das?
negiup 24. Mär 2023

Weiß man mehr darüber?

Aktuell auf der Startseite von Golem.de
Endzeit
Experten warnen vor der Ausrottung der Menschheit durch KI

Unternehmen wie Microsoft, Google und OpenAI stehen hinter einer sehr drastischen Stellungnahme. Die warnt vor der Auslöschung durch KI.

Endzeit: Experten warnen vor der Ausrottung der Menschheit durch KI
Artikel
  1. Blizzard: Erste Wertungen für Diablo 4 sind da
    Blizzard
    Erste Wertungen für Diablo 4 sind da

    Gamer stehen vor einem Großereignis: Blizzard veröffentlicht bald Diablo 4. Nun gibt es erste Wertungen der Fachpresse.

  2. Apple: iPhone 15 soll mit USB-C und neuem Mute-Button kommen
    Apple
    iPhone 15 soll mit USB-C und neuem Mute-Button kommen

    Erste Dummys der kommenden iPhone-15-Reihe verraten bereits ein paar interessante kleinere Details - der Mute-Button etwa wird ersetzt.

  3. Künstliche Intelligenz: So funktionieren KI-Bildgeneratoren
    Künstliche Intelligenz
    So funktionieren KI-Bildgeneratoren

    Im Netz wimmelt es mittlerweile von künstlich erzeugten Bildern reitender Astronauten, skateboardfahrender Teddys oder stylish gekleideter Päpste. Aber wie machen Dall-E, Stable Diffusion & Co. das eigentlich?
    Von Helmut Linde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MindStar: 14 Grafikkarten im Sale • Logitech G Pro Wireless Maus 89€ • Amazon-Geräte für Alexa bis -50% • The A500 Mini 74,99€ • Logitech G213 Prodigy Tastatur 49,90€ • Crucial P5 Plus (PS5-komp.) 1TB 71,99€, 2TB 133,99€ • HyperX Cloud II Headset 62,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /